ecole superieure de commerce et d’informatique de …
TRANSCRIPT
MINISTERE DE LrsquoENSEIGNEMENT
SUPERIEUR DE LA RECHERCHE -
--------------------------------------------------
SCIENTIFIQUE ET DE LrsquoINNOVATION
--------------------------------------------------
ECOLE SUPERIEURE DE COMMERCE
ET DrsquoINFORMATIQUE DE GESTION
(ESCO-IGES)
MEMOIRE DE FIN DE CYCLE
Stage eacuteffectueacute du 22 mai 2018 au 21 octrobre 2018
Preacutesenteacute en vue drsquoobtention du diplome de master 2 professionel
DomaineDroit des Affaires et Fiscaliteacute
Preacutesenteacute par Hamidou SOUDRE
THEME
PROTECTION DES DONNEES DrsquoUTILISATEURS A
CARACTERE PERSONNEL SUR LES PROGRAMMES
DrsquoORDINATEURS AU BURKINA FASO CAS DE
MTOPO PAYMENT SOLUTIONS BFTSR ET RAHIMO
TRANSPORT
Directeur de meacutemoire
Anatole KABORE
Magistrat enseignant vacataire
Maitre de stage
Seny GANEMTORE
Directeur Geacuteneacuteral de MTOPO
MTOPO PAYMENT SOLUTIONS BF
Anneacutee acadeacutemique 2017-2018
BURKINA FASO
UNITE-PROGRES-JUSTICE
I
AVERTISSEMENT
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion nrsquoentend donner
aucune approbation ou improbation au contenu du document Les ideacutees eacutemises
nrsquoengagent que leur auteur
II
DEDICACE
A mon cher pegravere qui a toujours cru en moi et a mis agrave ma disposition tous les moyens
neacutecessaires pour que je reacuteussisse dans mes eacutetudes A ma chegravere megravere que je ne cesse de
remercier pour tout ce qursquoelle mrsquoa donneacute Que Dieu la reacutecompense pour tous ses bienfaits
A mes amis pour la solidariteacute et le partage
III
REMERCIEMENTS
Au terme de notre eacutetude nous exprimons notre profonde reconnaissance agrave notre directeur
de meacutemoire Monsieur Anatole KABORE qui nrsquoa meacutenageacute aucun effort pour nous
apporter ses preacutecieux conseils ses encouragements et ses suggestions Nous tenons en
outre agrave remercier nos enseignants et lrsquoensemble du personnel de ESCO IGES pour avoir
assureacute notre formation tout en nous donnant des conseils pour une meilleure inteacutegration
dans la fonction publique et dans le monde des affaires Nos remerciements srsquoadressent
eacutegalement agrave toute lrsquoadministration de MTOPO PAYEMENT SOLUTIONS BF en
particulier notre directeur de stage Monsieur Seny GANEMTORE et agrave toute
lrsquoadministration de TSR et RAHIMO Transport Nous remercions par ailleurs nos
proches nos camarades et nos amis pour leurs diffeacuterents soutiens et encouragements qui
nous ont permis de mener notre eacutetude Nous remercions enfin tous ceux qui de pregraves ou
de loin et de quelque maniegravere que ce soit nous ont eacuteteacute utiles dans la reacutealisation de ce
meacutemoire
IV
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES
AN Assembleacutee Nationale
BF Burkina Faso
CE Conseil Europeacuteen
CE Conseil de lrsquoEurope
CEDEAO Comiteacute Economique Des Etats de lrsquoAfrique de lrsquoOuest
CEDH Convention Europeacuteenne des Droits de lrsquoHomme
CENI Commission Electorale Nationale Indeacutependante
CIL Commission de lrsquoInformatique et des Liberteacutes
CNIL Commission Nationale de lrsquoInformatique et des Liberteacutes
CNSS Caisse Nationale de la Seacutecuriteacute Sociale
CUA Convention de lrsquoUnion Africaine
DAAF Direction des Affaires Administratives et Financiegraveres
DAJC Direction des Affaires Juridiques et du Contentieux
DETC Direction de lrsquoExpertise Technique et du Controcircle
DF Deacutepartement Finance
DG Direction Geacuteneacuterale
DTIC Droit des Technologies de lrsquoInformatique et de la Communication
DUDH Deacuteclaration Universelle des Droits de lrsquoHomme
ESCO-IGES Ecole de Commerce et drsquoInformatique de Gestion
GAFAM Google Amazon Facebook Apple Microsoft
GDRP General Data Regulation and Protection
JO Journal Officiel
LIL Loi Informatique et Liberteacutes
LPDP Loi portant Protection des Donneacutees agrave caractegravere Personnel
NTIC Nouvelles Technologies de lrsquoInformation et de la Communication
OIF Organisation Internationale de la Francophonie
ONI Office Nationale drsquoIdentification
ONU Organisation des Nations Unies
PIN Personal Identification Number
SAS Software As a Service
SG Secreacutetariat Geacuteneacuteral
SRHJ Service des Ressources Humaines et Juridiques
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
I
AVERTISSEMENT
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion nrsquoentend donner
aucune approbation ou improbation au contenu du document Les ideacutees eacutemises
nrsquoengagent que leur auteur
II
DEDICACE
A mon cher pegravere qui a toujours cru en moi et a mis agrave ma disposition tous les moyens
neacutecessaires pour que je reacuteussisse dans mes eacutetudes A ma chegravere megravere que je ne cesse de
remercier pour tout ce qursquoelle mrsquoa donneacute Que Dieu la reacutecompense pour tous ses bienfaits
A mes amis pour la solidariteacute et le partage
III
REMERCIEMENTS
Au terme de notre eacutetude nous exprimons notre profonde reconnaissance agrave notre directeur
de meacutemoire Monsieur Anatole KABORE qui nrsquoa meacutenageacute aucun effort pour nous
apporter ses preacutecieux conseils ses encouragements et ses suggestions Nous tenons en
outre agrave remercier nos enseignants et lrsquoensemble du personnel de ESCO IGES pour avoir
assureacute notre formation tout en nous donnant des conseils pour une meilleure inteacutegration
dans la fonction publique et dans le monde des affaires Nos remerciements srsquoadressent
eacutegalement agrave toute lrsquoadministration de MTOPO PAYEMENT SOLUTIONS BF en
particulier notre directeur de stage Monsieur Seny GANEMTORE et agrave toute
lrsquoadministration de TSR et RAHIMO Transport Nous remercions par ailleurs nos
proches nos camarades et nos amis pour leurs diffeacuterents soutiens et encouragements qui
nous ont permis de mener notre eacutetude Nous remercions enfin tous ceux qui de pregraves ou
de loin et de quelque maniegravere que ce soit nous ont eacuteteacute utiles dans la reacutealisation de ce
meacutemoire
IV
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES
AN Assembleacutee Nationale
BF Burkina Faso
CE Conseil Europeacuteen
CE Conseil de lrsquoEurope
CEDEAO Comiteacute Economique Des Etats de lrsquoAfrique de lrsquoOuest
CEDH Convention Europeacuteenne des Droits de lrsquoHomme
CENI Commission Electorale Nationale Indeacutependante
CIL Commission de lrsquoInformatique et des Liberteacutes
CNIL Commission Nationale de lrsquoInformatique et des Liberteacutes
CNSS Caisse Nationale de la Seacutecuriteacute Sociale
CUA Convention de lrsquoUnion Africaine
DAAF Direction des Affaires Administratives et Financiegraveres
DAJC Direction des Affaires Juridiques et du Contentieux
DETC Direction de lrsquoExpertise Technique et du Controcircle
DF Deacutepartement Finance
DG Direction Geacuteneacuterale
DTIC Droit des Technologies de lrsquoInformatique et de la Communication
DUDH Deacuteclaration Universelle des Droits de lrsquoHomme
ESCO-IGES Ecole de Commerce et drsquoInformatique de Gestion
GAFAM Google Amazon Facebook Apple Microsoft
GDRP General Data Regulation and Protection
JO Journal Officiel
LIL Loi Informatique et Liberteacutes
LPDP Loi portant Protection des Donneacutees agrave caractegravere Personnel
NTIC Nouvelles Technologies de lrsquoInformation et de la Communication
OIF Organisation Internationale de la Francophonie
ONI Office Nationale drsquoIdentification
ONU Organisation des Nations Unies
PIN Personal Identification Number
SAS Software As a Service
SG Secreacutetariat Geacuteneacuteral
SRHJ Service des Ressources Humaines et Juridiques
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
II
DEDICACE
A mon cher pegravere qui a toujours cru en moi et a mis agrave ma disposition tous les moyens
neacutecessaires pour que je reacuteussisse dans mes eacutetudes A ma chegravere megravere que je ne cesse de
remercier pour tout ce qursquoelle mrsquoa donneacute Que Dieu la reacutecompense pour tous ses bienfaits
A mes amis pour la solidariteacute et le partage
III
REMERCIEMENTS
Au terme de notre eacutetude nous exprimons notre profonde reconnaissance agrave notre directeur
de meacutemoire Monsieur Anatole KABORE qui nrsquoa meacutenageacute aucun effort pour nous
apporter ses preacutecieux conseils ses encouragements et ses suggestions Nous tenons en
outre agrave remercier nos enseignants et lrsquoensemble du personnel de ESCO IGES pour avoir
assureacute notre formation tout en nous donnant des conseils pour une meilleure inteacutegration
dans la fonction publique et dans le monde des affaires Nos remerciements srsquoadressent
eacutegalement agrave toute lrsquoadministration de MTOPO PAYEMENT SOLUTIONS BF en
particulier notre directeur de stage Monsieur Seny GANEMTORE et agrave toute
lrsquoadministration de TSR et RAHIMO Transport Nous remercions par ailleurs nos
proches nos camarades et nos amis pour leurs diffeacuterents soutiens et encouragements qui
nous ont permis de mener notre eacutetude Nous remercions enfin tous ceux qui de pregraves ou
de loin et de quelque maniegravere que ce soit nous ont eacuteteacute utiles dans la reacutealisation de ce
meacutemoire
IV
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES
AN Assembleacutee Nationale
BF Burkina Faso
CE Conseil Europeacuteen
CE Conseil de lrsquoEurope
CEDEAO Comiteacute Economique Des Etats de lrsquoAfrique de lrsquoOuest
CEDH Convention Europeacuteenne des Droits de lrsquoHomme
CENI Commission Electorale Nationale Indeacutependante
CIL Commission de lrsquoInformatique et des Liberteacutes
CNIL Commission Nationale de lrsquoInformatique et des Liberteacutes
CNSS Caisse Nationale de la Seacutecuriteacute Sociale
CUA Convention de lrsquoUnion Africaine
DAAF Direction des Affaires Administratives et Financiegraveres
DAJC Direction des Affaires Juridiques et du Contentieux
DETC Direction de lrsquoExpertise Technique et du Controcircle
DF Deacutepartement Finance
DG Direction Geacuteneacuterale
DTIC Droit des Technologies de lrsquoInformatique et de la Communication
DUDH Deacuteclaration Universelle des Droits de lrsquoHomme
ESCO-IGES Ecole de Commerce et drsquoInformatique de Gestion
GAFAM Google Amazon Facebook Apple Microsoft
GDRP General Data Regulation and Protection
JO Journal Officiel
LIL Loi Informatique et Liberteacutes
LPDP Loi portant Protection des Donneacutees agrave caractegravere Personnel
NTIC Nouvelles Technologies de lrsquoInformation et de la Communication
OIF Organisation Internationale de la Francophonie
ONI Office Nationale drsquoIdentification
ONU Organisation des Nations Unies
PIN Personal Identification Number
SAS Software As a Service
SG Secreacutetariat Geacuteneacuteral
SRHJ Service des Ressources Humaines et Juridiques
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
III
REMERCIEMENTS
Au terme de notre eacutetude nous exprimons notre profonde reconnaissance agrave notre directeur
de meacutemoire Monsieur Anatole KABORE qui nrsquoa meacutenageacute aucun effort pour nous
apporter ses preacutecieux conseils ses encouragements et ses suggestions Nous tenons en
outre agrave remercier nos enseignants et lrsquoensemble du personnel de ESCO IGES pour avoir
assureacute notre formation tout en nous donnant des conseils pour une meilleure inteacutegration
dans la fonction publique et dans le monde des affaires Nos remerciements srsquoadressent
eacutegalement agrave toute lrsquoadministration de MTOPO PAYEMENT SOLUTIONS BF en
particulier notre directeur de stage Monsieur Seny GANEMTORE et agrave toute
lrsquoadministration de TSR et RAHIMO Transport Nous remercions par ailleurs nos
proches nos camarades et nos amis pour leurs diffeacuterents soutiens et encouragements qui
nous ont permis de mener notre eacutetude Nous remercions enfin tous ceux qui de pregraves ou
de loin et de quelque maniegravere que ce soit nous ont eacuteteacute utiles dans la reacutealisation de ce
meacutemoire
IV
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES
AN Assembleacutee Nationale
BF Burkina Faso
CE Conseil Europeacuteen
CE Conseil de lrsquoEurope
CEDEAO Comiteacute Economique Des Etats de lrsquoAfrique de lrsquoOuest
CEDH Convention Europeacuteenne des Droits de lrsquoHomme
CENI Commission Electorale Nationale Indeacutependante
CIL Commission de lrsquoInformatique et des Liberteacutes
CNIL Commission Nationale de lrsquoInformatique et des Liberteacutes
CNSS Caisse Nationale de la Seacutecuriteacute Sociale
CUA Convention de lrsquoUnion Africaine
DAAF Direction des Affaires Administratives et Financiegraveres
DAJC Direction des Affaires Juridiques et du Contentieux
DETC Direction de lrsquoExpertise Technique et du Controcircle
DF Deacutepartement Finance
DG Direction Geacuteneacuterale
DTIC Droit des Technologies de lrsquoInformatique et de la Communication
DUDH Deacuteclaration Universelle des Droits de lrsquoHomme
ESCO-IGES Ecole de Commerce et drsquoInformatique de Gestion
GAFAM Google Amazon Facebook Apple Microsoft
GDRP General Data Regulation and Protection
JO Journal Officiel
LIL Loi Informatique et Liberteacutes
LPDP Loi portant Protection des Donneacutees agrave caractegravere Personnel
NTIC Nouvelles Technologies de lrsquoInformation et de la Communication
OIF Organisation Internationale de la Francophonie
ONI Office Nationale drsquoIdentification
ONU Organisation des Nations Unies
PIN Personal Identification Number
SAS Software As a Service
SG Secreacutetariat Geacuteneacuteral
SRHJ Service des Ressources Humaines et Juridiques
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
IV
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES
AN Assembleacutee Nationale
BF Burkina Faso
CE Conseil Europeacuteen
CE Conseil de lrsquoEurope
CEDEAO Comiteacute Economique Des Etats de lrsquoAfrique de lrsquoOuest
CEDH Convention Europeacuteenne des Droits de lrsquoHomme
CENI Commission Electorale Nationale Indeacutependante
CIL Commission de lrsquoInformatique et des Liberteacutes
CNIL Commission Nationale de lrsquoInformatique et des Liberteacutes
CNSS Caisse Nationale de la Seacutecuriteacute Sociale
CUA Convention de lrsquoUnion Africaine
DAAF Direction des Affaires Administratives et Financiegraveres
DAJC Direction des Affaires Juridiques et du Contentieux
DETC Direction de lrsquoExpertise Technique et du Controcircle
DF Deacutepartement Finance
DG Direction Geacuteneacuterale
DTIC Droit des Technologies de lrsquoInformatique et de la Communication
DUDH Deacuteclaration Universelle des Droits de lrsquoHomme
ESCO-IGES Ecole de Commerce et drsquoInformatique de Gestion
GAFAM Google Amazon Facebook Apple Microsoft
GDRP General Data Regulation and Protection
JO Journal Officiel
LIL Loi Informatique et Liberteacutes
LPDP Loi portant Protection des Donneacutees agrave caractegravere Personnel
NTIC Nouvelles Technologies de lrsquoInformation et de la Communication
OIF Organisation Internationale de la Francophonie
ONI Office Nationale drsquoIdentification
ONU Organisation des Nations Unies
PIN Personal Identification Number
SAS Software As a Service
SG Secreacutetariat Geacuteneacuteral
SRHJ Service des Ressources Humaines et Juridiques
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
V
TSR Transport Sana Rasmaneacute
UA Union Africaine
UE Union Europeacuteenne
UNESCO Organisation des Nations Unies pour lrsquoEducation la Science et la Culture
USA United State of America
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
VI
LISTE DES TABLEAUX
Tableau I situation de recouvrement des questionnaires 60
Tableau II situation des entretiens reacutealiseacutes 60
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT 61
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles 64
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement 67
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs 69
Tableau VII Absence drsquoinformation des voyageurs de leurs droits 70
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits 70
VII
SOMMAIRE
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
AVANT -PROPOS VIII
INTRODUCTION GENERALE1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET
CONDITIONS DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL
AU BURKINA FASO 4
Section I Cadre theacuteorique de lrsquoeacutetude5
Section II Cadre meacutethodologique de lrsquoeacutetude 16
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Section II Le controcircle des traitements des donneacutees 52
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
Section II La veacuterification des hypothegraveses 65
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
VIII
AVANT -PROPOS
LrsquoEcole Supeacuterieure de Commerce et drsquoInformatique de Gestion (ESCO-IGES) est un
eacutetablissement priveacute drsquoenseignement supeacuterieur qui a ouvert ses portes en octobre de lrsquoanneacutee
acadeacutemique 1999-2000 par deacutecret ndeg2000444MESSRS du 13 mai 2000Lrsquoeacutecole est en
partenariat depuis 2003 avec la Fondation Universiteacute Mercure (FUM) de Bruxelles en Belgique
lrsquoEtat burkinabegrave et lrsquoInstitut Burkinabeacute des Arts et Meacutetiers (IBAM) de lrsquouniversiteacute Joseph Ki
Zerbo
Lrsquoeacutecole forme des agents de maitrises des cadres moyens et des cadres supeacuterieurs dans les
filiegraveres suivantes
Premier cycle
DTS ou BTS Banque
DTS ou BTS Finance Comptabiliteacute
DTS ou BTS Gestion Commerciale
DTS ou BTS Communication drsquoentreprise
DTS ou BTS Transport Logistique et Transit
DTS ou BTS Marketing Management
Second Cycle
Licence Professionnelle en Technique Comptable et Financiegravere
Licence Professionnelle en Gestion des Ressources Humaines
Licence Professionnelle en Marketing et Communication drsquoentreprise
Maitrise en Gestion des Ressources Humaines
Maitrise en Sciences et Techniques Comptables et Financiegraveres
Maitrise en marketing Vente
Maitrise en Informatique
Master Professionnel en Droit des Affaires et Fiscaliteacutes
Master en Management des Ressources Humaines
Master Professionnel en Management des affaires
Crsquoest le second cycle qui nous concerne et plus preacuteciseacutement le Master en Droit des Affaires
et Fiscaliteacute
IX
A la fin de ce cycle theacuteorique lrsquoeacutetudiant doit produire un meacutemoire pour lrsquoobtention de son
diplocircme de master II Pour ce faire nous avons deacutecideacute drsquoeffectuer un stage dans une socieacuteteacute
commerciale Le thegraveme retenu est laquo Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO PAYMENT SOLUTIONS
BF TSR et RAHIMO TRANSPORT raquo
1
INTRODUCTION GENERALE
Avec la multiplication des dispositifs de mise en relation ainsi que le deacuteveloppement
des applications participatives sur lrsquointernet1 la question de la protection des donneacutees
personnelles a eacutemergeacute parallegravelement avec la question de lrsquoexploitation marchande de ces
donneacutees par les entreprises de lrsquointernet2 entrainant ainsi la menace de la vie priveacutee des
utilisateurs Cette question est relativement reacutecente au regard de leacutevolution de linternet Elle
ne se posait pas de faccedilon aussi sensible lors des deacutebuts de Google en 1998 ou de Facebook en
20043 car la marchandisation de ces donneacutees neacutetait pas autant au cœur des services proposeacutes
par ces deux entreprises Pour percevoir lintensiteacute de ces progregraves et des bouleversements qui
en deacutecoulent il suffit de reacutealiser que pendant cette peacuteriode les progregraves scientifiques et
technologiques ont permis de multiplier par mille la vitesse de traitement de linformation les
capaciteacutes de stockage et les capaciteacutes de communication4Avec lavanceacutee technologique de
linformatique et les multiples possibiliteacutes eacuteconomiques qui en deacutecoulent cette question de la
protection des donneacutees personnelles devient centrale et suscite de nombreux deacutebats juridiques
techniques eacuteconomiques et sociologiques De ce fait ces derniegraveres anneacutees le droit agrave la vie
priveacutee5 srsquoest vu de plus en plus menaceacute par le deacuteveloppement exponentiel des nouveaux
systegravemes drsquoinformation et de collecte des donneacutees personnelles
Aucun pays du monde nrsquoarrive agrave proteacuteger de faccedilon efficace les donneacutees personnelles de
ses citoyens Ce qui signifie qursquoil nrsquoexiste aucun pays qui puisse veiller agrave la protection effective
de la vie priveacutee de sa population face agrave ces divers facteurs de risques
Pourtant ce pheacutenomegravene est en contradiction avec les instruments nationaux et
internationaux en matiegravere de protection de la vie priveacutee et des donneacutees personnelles Afin
drsquoeacuteradiquer de telles situations les Etats ont mis en place des regravegles juridiques speacutecifiques en
matiegravere de protection des donneacutees agrave caractegravere personnel de leurs citoyens
1 Lrsquointernet est un reacuteseau informatique mondial accessible au public Il peut ecirctre aussi deacutefinit comme un reacuteseau mondial de teacuteleacutecommunication reliant entre eux des ordinateurs ou des reacuteseaux locaux et permettant lrsquoacheminement des donneacutees numeacuteriseacutees de toutes sortes (messages eacutelectroniques images textes sons ct) in wwwkalieu-elongocomreseaux-sociaux consulteacute le 02052019 agrave 11h 2 N WALCZAK protection des donneacutees personnelles sur lrsquointernet France ed2014 04 juillet 2014 p14 in httpshalshsarchives-ouvertesfrtel-01271019document consulteacute le (01012019 agrave 14h) 3Ce que nous avons constateacute dans lrsquoeacutelaboration de notre meacutemoire Avant cette date les donneacutees personnelles ne constituaient pas des enjeux eacuteconomiques et politiques pour les entreprises de technologie ce qui est le cas dans lrsquoactualiteacute et agrave partir de 2008 4 G BRAIBANT Donneacutees personnelles et socieacuteteacute de linformation Rapport au Premier Ministre franccedilais sur la transposition en droit franccedilais de la directive ndeg 9546 documentation franccedilaise le 03 mars 1998 p1 5 E DECAUX Professeur drsquouniversiteacute Paris II laquo Protection de la vie priveacutee au regard des donneacutees informatiques raquo article 2003 p1in httpwwwenssibfrdocument123hellipPDF
2
Le Burkina Faso en tant que pays en voie de deacuteveloppement ne deacuteroge pas agrave cette regravegle
Les diffeacuterents reacutefeacuterentiels de protection des donneacutees agrave caractegravere personnel adopteacutes par
les autoriteacutes accordent une place non neacutegligeable agrave la protection deacutecente de la vie priveacutee de la
population Toutefois on peut regretter que la protection deacutecente des donneacutees personnelles reste
encore une preacuteoccupation pour la population Il faut rechercher des voies et moyens pour sortir
de cette impasse afin que toute la population dont les donneacutees personnelles font lrsquoobjet de
traitement par les responsables des traitements puisse ecirctre utiliseacutee conformeacutement agrave la loi ndeg 010
du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso
Lrsquoun des moyens pour y parvenir est lrsquoinformation des citoyens de la finaliteacute des
traitements des donneacutees agrave caractegravere personnel par lrsquoentremise de plusieurs moyens jugeacutes
approprieacutes Ainsi lrsquoindividu acquiert des moyens lui permettant de reacuteguler lui-mecircme ses
donneacutees personnelles agrave travers lrsquoexercice des controcircles agrave posteriori de la mise en œuvre de
traitement des donneacutees agrave caractegravere personnel
Crsquoest drsquoailleurs lrsquoobjectif assigneacute par la loi ndeg 010 du 24 avril 2004 portant protection
des donneacutees agrave caractegravere personnel au Burkina Faso6 Lrsquoarticle 13 de cette loi dispose que le
responsable des traitements des donneacutees agrave caractegravere personnel est dans lrsquoobligation laquo drsquoinformer
les personnes concerneacutees de la finaliteacute du traitement des destinataires des donneacuteeshellip raquo7
Lrsquoinformation des personnes concerneacutees joue un rocircle tregraves important dans la mesure ougrave elle a
pour vocation de permettre aux personnes concerneacutees drsquoauto-proteacuteger leur vie priveacutee
Le marcheacute burkinabegrave est confronteacute agrave de nouveaux enjeux commerciaux agrave lrsquoegravere du
numeacuterique dans le secteur de transport terrestre de personnes qui utilise des logiciels de gestion
de leurs activiteacutes8 Le deacuteveloppement exponentiel des technologies de lrsquoinformation et de la
communication interpelle en ce qursquoil entraine une intrusion massive dans la vie priveacutee des
citoyens9 des consommateurs10 Ces innovations favorisent lrsquoextraction de ce que lrsquoon nomme
aujourdrsquohui le nouvel or noir du 21egraveme siegravecle les donneacutees personnelles nouvel eldorado des
grandes entreprises
6 La loi ndeg010 du 24 avril 2004 est la premiegravere leacutegislation burkinabegrave en matiegravere de protection des donneacutees agrave caractegravere personnel au Burkina Faso Le Burkina Faso fut le premier pays agrave adopter une leacutegislation en matiegravere de protection des donneacutees personnel en Afrique
7 Article 13 de la loi ndeg010 du 20 Avril 2004 portant protection des donneacutees agrave caractegravere personnel au Burkina Faso 8 Nous avons constateacute lors de notre voyage Ouaga-Bobo en Mai 2018 que les compagnies de transport terrestre de personnes en particulier Transport Sana Rasmaneacute et RAHIMO TRANSPORT eacutevoluent dans les technologies Elles utilisent un logiciel de vente des tickets de transport qui collecte des donneacutees nominatives et les numeacuteros du teacuteleacutephone de leurs clients 9 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique France HAL ed2018 p8 10 Deacutefinie comme laquo toute personne physique agissant agrave des fins qui nrsquoentrent pas dans le cadre de son activiteacute professionnelle raquo article 2 alineacutea 5 loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques au Burkina Faso JO ndeg01 du 07 janvier 2010
3
Dans cet environnement les donneacutees agrave caractegravere personnel des personnes concerneacutees sur les
logiciels ne sont-elles pas deacutetourneacutees de leur finaliteacute En drsquoautres termes les donneacutees
personnelles des personnes concerneacutees sur les logiciels ne sont-elles pas utiliseacutees agrave drsquoautres
finaliteacutes autres que celles pour laquelle elles ont eacuteteacute collecteacutees
Pour apporter une reacuteponse agrave cette probleacutematique nous avons opteacute drsquoeacutetudier la protection
des donneacutees agrave caractegravere personnel agrave travers le cas speacutecifique de MTOPO PAYEMENT
SOLUTIONS BF TSR et RAHIMO TRANSPORT
Nous examinerons la probleacutematique poseacutee en scindant notre travail en deux parties
distinctes La premiegravere partie sera consacreacutee au cadre theacuteorique de lrsquoeacutetude analytique et les
conditions drsquoutilisation des donneacutees agrave caractegravere personnel au Burkina Faso La deuxiegraveme partie
se focalisera sur lrsquoanalyse et lrsquointerpreacutetation des reacutesultats et les propositions de solutions pour
une meilleure ameacutelioration de la protection de la vie priveacutee de la population en geacuteneacuteral et en
particulier des usagers des compagnies de transport TSR et RAHIMO TRANSPORT
4
Cette partie comporte deux (02) chapitres Le premier chapitre traite du cadre theacuteorique
et meacutethodologique de lrsquoeacutetude et le deuxiegraveme chapitre est reacuteserveacute aux conditions drsquoutilisations
des donneacutees agrave caractegravere personnel au Burkina Faso
PREMIERE PARTIE CADRE THEORIQUE
METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A
CARACTERE PERSONNEL AU BURKINA FASO
5
Chapitre I Cadre theacuteorique et meacutethodologique de lrsquoeacutetude
Pour les besoins de la preacutesente eacutetude il nous a fallu eacutelaborer un cadre theacuteorique (section
I) et meacutethodologique (section II)
Section I Cadre theacuteorique de lrsquoeacutetude
Le cadre theacuteorique de lrsquoeacutetude pose drsquoabord la probleacutematique la justification les
objectifs et les questions de recherche (paragraphe I) Il est axeacute sur lrsquointeacuterecirct les hypothegraveses de
recherche et le cadre conceptuel (paragraphe II)
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche
Il convient de poser drsquoabord la probleacutematique et la justification du choix du thegraveme(A)
puis les objectifs et les questions de recherche(B)
A La probleacutematique et la justification
Cette rubrique traite du problegraveme que pose le thegraveme (1) et donne ensuite la justification
du choix de ce thegraveme (2)
1 La probleacutematique
La protection de la vie priveacutee11 des personnes physiques demeure une preacuteoccupation
majeure pour le Burkina Faso12face aux divers facteurs de risques mettant en peacuteril la vie priveacutee
des citoyens En effet avec le deacuteveloppement des technologies de lrsquoinformation et de la
communication13 un tel traitement a pris une nouvelle dimension en raison des ressources
informatiques non seulement la quantiteacute des donneacutees traiteacutees a accru mais surtout le traitement
11 11La protection de la vie priveacutee est lrsquoensemble des mesures techniques visant agrave assurer le respect du droit agrave la vie priveacutee 12 Il existait au Burkina Faso avant lrsquoadoption de la LPDP ndeg010 du 20 avril 2004 des leacutegislations du droit commun qui reacutegissaient la vie priveacutee et des donneacutees personnelles des citoyens tels que le code civil la responsabiliteacute civile et le code du travail etchellip 13La Technologie de lrsquoInformation et de la Teacuteleacutecommunication sont diverses et eacutechappent de ce fait agrave une deacutefinition preacutecise De maniegravere approximative elles srsquoeacutetendent conformeacutement agrave lrsquoarticle 1er de la Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans lrsquoespace CEDEAO comme laquo les technologies employeacutees pour recueillir stocker utiliser et envoyer des informations incluant celles qui impliquent lrsquoutilisation des ordinateurs ou de tout systegraveme de communication y compris de teacuteleacutecommunication raquo
6
de ces derniegraveres est multiforme mettant en marge la protection effective de la vie priveacutee des
personnes concerneacutees par le traitement14 parce qursquoil est devenu facile de modifier les donneacutees
de les effacer ou drsquoamputer une partie de celles-ci sans laisser des traces Il est eacutegalement aiseacute
de stocker des grandes quantiteacutes de donneacutees dans de grosses bases de donneacutees et drsquoopeacuterer des
rapprochements entre drsquoune part des donneacutees de la mecircme base et drsquoautre part des donneacutees de
bases diffeacuterentes
Dans un tel contexte la protection de la vie priveacutee est menaceacutee car lrsquoutilisation des
Technologies de lrsquoInformation et de la Communication (TIC) agrave des fins de traitement des
donneacutees fait courir agrave lrsquoindividu le risque de perte de controcircle sur les informations relatives agrave sa
personne15En effet cette protection ne srsquoeacutetend pas seulement du laquo droit drsquoecirctre seul raquo ou du
droit agrave lrsquointimiteacute dans la vie crsquoest-agrave-dire une vie cacheacutee tranquille choisie elle implique
eacutegalement laquo la maitrise par lrsquoindividu de lrsquoinformation qui circule agrave son propos de la maitrise
de son image informationnelle raquo16 Pour cela le Burkina Faso a adopteacute une loi ndeg 010 du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel pour la mise en œuvre de la
protection des donneacutees drsquoutilisateurs agrave caractegravere personnel agrave lrsquoimage de la loi franccedilaise de 1978
reacuteviseacutee par la loi de 2004 portant protection des donneacutees agrave caractegravere personnel(LPDP)17
Cependant la protection effective des donneacutees agrave caractegravere personnel reste une lettre bois mort
puisque les personnes concerneacutees sont toujours victimes agrave cause de la multiplication accrue des
programmes drsquoordinateurs et des applications mobiles qui constituent des moyens de collecte
des donneacutees drsquoutilisateurs agrave caractegravere personnel rendant difficile drsquoidentifier lrsquoauteur de la
collecte des donneacutees ainsi que leur reacuteutilisation eacuteventuelle
Lrsquoobjectif assigneacute agrave la Commission de lrsquoInformatique et des Liberteacutes (CIL) creacuteeacutee par
cette loi est de proteacuteger les droits des personnes concerneacutees par le traitement afin drsquoeacuteviter que
leur intimiteacute agrave la vie priveacutee ne soit menaceacutee18 En outre elle doit exercer des controcircles aupregraves
des entreprises drsquointernet ou de collecte de donneacutees agrave caractegravere personnel afin drsquoeacuteviter toute
exploitation abusive des donneacutees personnelles En revanche les personnes concerneacutees sont
confronteacutees toujours agrave des difficulteacutes lieacutees agrave la protection de leurs donneacutees agrave caractegravere personnel
dont collectent les responsables de traitement Ce qui justifie une violation persistante des droits
des personnes concerneacutees par le traitement sur les programmes drsquoordinateurs au Burkina Faso
14DW KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso OFF PROD 1egravere eacuted 1er janvier 2017 p106 15 D W KABRE Droit des technologies de lrsquoinformation et de la communication opcit p106 16 MH BOULANGER et C TERWANGNE laquo internet et respect de la vie priveacutee raquo in E MONTERO (eacuted) internet face au droit extrait des cahiers du CRID ndeg12 p192 17 La loi ndeg78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes fut la pionniegravere franccedilaise en matiegravere de protection des donneacutees 18 Article 37 de la LPDP
7
Il se pose par ailleurs le problegraveme de reacuteutilisation des donneacutees agrave caractegravere personnel des
personnes concerneacutees sur les logiciels au Burkina Faso sans leur consentement Cette eacutetude se
veut ecirctre une contribution agrave la recherche des solutions agrave ces difficulteacutes
Pour ce faire nous avons deacutecideacute drsquoeacutetudier le cas speacutecifique de MTOPO19 PAYEMENT
SOLUTIONS BF et ses clients Le choix de cette socieacuteteacute se justifie par le fait que nous y avons
effectueacute notre stage ougrave nous avons constateacute qursquoelle dispose drsquoun serveur Microsoft qui collecte
les donneacutees agrave caractegravere personnel des usagers des transporteurs terrestres de personnes dans ses
rapports contractuels avec ses clients notamment les compagnies de Transport Sana Rasmaneacute
(TSR) et Transport RAHIMO ougrave nous avons tenteacute drsquoaccomplir des formaliteacutes preacutealables agrave la
mise en œuvre des traitements aupregraves de la Commission de lrsquoInformatique et des Liberteacutes du
Burkina Faso par la collaboration du Directeur geacuteneacuteral MTOPO PAYMENT SOLUTIONS BF
En fin ce choix se justifie par le fait que lrsquoentreprise dispose drsquoune technologie particuliegravere en
matiegravere de traitement de donneacutees agrave caractegravere personnel au Burkina Faso
MTOPO PAYEMENT SOLUTIONS BF a mis agrave la disposition de ces compagnies de
transport terrestre de personne notamment Transport Sana Rasmaneacute (TSR) et RAHIMO
TRANSPORT en vertu drsquoune licence drsquoexploitation drsquoun logiciel en mode SAS20 (software as
a service) permettant agrave ces derniegraveres de geacuterer leurs activiteacutes telles que la vente des tickets la
reacuteservation des tickets en ligne par les voyageurs la gestion des bagues et des colis la gestion
des parkings ainsi que lrsquoembarquement Afin de profiter au mieux de lrsquoenvironnement
personnaliseacute les voyageurs sont ameneacutes agrave deacutevoiler eacutenormeacutement drsquoinformations sur eux-mecircmes
sans toujours mesurer le risque associeacute
Pour lrsquoexeacutecution de ces activeacutes les compagnies de transport collectent les noms
preacutenoms numeacuteros de teacuteleacutephone et les adresses e-mail des voyageurs qui constituent des
donneacutees agrave caractegravere personnel Les voyageurs sont obligeacutes de transmettre ces informations
personnelles potentiellement sensibles y compris le compte mobile money21
Pour lrsquoanneacutee 2018 TSR a enregistreacute environ 3 000 000 voyageurs soit 8334 voyageurs
par jour dans la ville de Ouagadougou RAHIMO TRANSPORT a enregistreacute dans la mecircme
anneacutee environ 1 080 000 voyageurs soit 300 voyageurs par jour dans la ville de Ouagadougou
19 MTOPO signifie en moreacute laquo trouver une solution agrave une situation donneacutee raquo 20 Le logiciel en tant que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur 21 Ce que nous avons constateacute lors de la vente des tickets aux voyageurs au TSR et RAHIMO TRANSPORT depuis mai 2018
8
Courant mois de janvier -feacutevrier 2019 TSR a enregistreacute 5 400 000 voyageurs soit 9000
voyageurs par jours dans la ville de Ouagadougou RAHIMO a enregistreacute 24 000 voyageurs
soit 400 voyageurs par jour dans la ville de Ouagadougou
Toutes ces donneacutees personnelles sont heacutebergeacutees dans le serveur de la socieacuteteacute MTOPO
PAYEMENT SOLUTIONS BF Seules les compagnies de transport en tant qursquoadministrateurs
doivent acceacuteder aux donneacutees collecteacutees Cependant MTOPO se borne agrave configurer les donneacutees
heacutebergeacutees sans avoir un droit drsquoaccegraves de ces donneacutees si ce nrsquoest qursquoavec le consentement expregraves
des compagnies de transport qui en sont les proprieacutetaires
Vu le nombre de plus en plus eacuteleveacute de traitements automatiseacutes de donneacutees personnelles
heacutebergeacutees et lrsquoheacutegeacutemonie de MTOPO en matiegravere drsquoheacutebergement des donneacutees drsquoutilisateurs au
Burkina Faso il faut se poser la question de savoir si les donneacutees agrave caractegravere personnel des
personnes concerneacutees sur le logiciel CONEKTO TRANSPORT ne sont pas deacutetourneacutees de leur
finaliteacute
La probleacutematique qui vient drsquoecirctre poseacutee nous oblige agrave justifier le choix de notre
theacutematique
2 La justification du choix du thegraveme
Le choix de ce thegraveme obeacuteit agrave une exigence acadeacutemique agrave savoir celle de produire un
meacutemoire de fin de cycle de formation Crsquoest dans cette optique que nous avons opteacute de nous
inteacuteresser agrave la probleacutematique de la protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso agrave travers le cas speacutecifique du logiciel CONEKTO
TRANSPORT impliquant MTOPO PAYMENT SOLUTIONS BF TSR et RAHIMO
TRANSPORT Les personnes concerneacutees sont pour la plupart confronteacutees agrave des difficulteacutes de
protection de leurs donneacutees agrave caractegravere personnel Nous pourrions reacutesumer pour ainsi dire les
raisons du choix du thegraveme de la maniegravere suivante
Drsquoabord les voyageurs sont confronteacutes agrave des difficulteacutes de protection de leurs droits et
ils se retrouvent victime de la violation par les responsables de traitement des donneacutees agrave
caractegravere personnel Cette situation est en contradiction avec lrsquoobjet de la Loi portant Protection
des Donneacutees agrave caractegravere Personnel (LPDP) et de la Commission de lrsquoInformatique et des
Liberteacutes (CIL) qui est de veiller agrave la protection des donneacutees agrave caractegravere personnel agrave travers
lrsquoencadrement juridique et institutionnel de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel La preacutesente eacutetude entend contribuer modestement agrave la recherche des causes
profondes de cette situation
9
Ensuite face aux difficulteacutes de protection des donneacutees agrave caractegravere personnel des
voyageurs cette eacutetude participera agrave reacuteduire les violations de la vie priveacutee des personnes
concerneacutees par la formulation de proposition tendant agrave lrsquoameacutelioration de la protection de la vie
priveacutee des voyageurs des compagnies de transport TSR et RAHIMO et en mecircme temps agrave la
promotion de la leacutegislation en matiegravere de protection des donneacutees agrave caractegravere personnel au
Burkina Faso
Apregraves avoir poseacute la probleacutematique et justifieacute le choix du thegraveme il convient agrave preacutesent de
se focaliser sur les objectifs et les questions de recherches
B Les objectifs et les questions de la recherche
Nous deacuteclinerons dans cette rubrique les objectifs rechercheacutes agrave travers lrsquoeacutetude (1) et les
diffeacuterentes questions que nous nous posons dans le cadre de la recherche (2)
1 Les objectifs de la recherche
Cette eacutetude vise un objectif geacuteneacuteral (a) et plusieurs objectifs speacutecifiques (b)
a Lrsquoobjectif geacuteneacuteral de la recherche
Le principal objectif poursuivi agrave travers cette eacutetude consiste agrave faire en sorte que les
donneacutees agrave caractegravere personnel collecteacutees des personnes concerneacutees par le traitement sur le
logiciel CONEKTO TRANSPORT ne soient pas utiliseacutees agrave des finaliteacutes autres que celle pour
lesquelles elles ont eacuteteacute collecteacutees
b Les objectifs speacutecifiques
De faccedilon speacutecifique notre recherche consiste agrave
Appreacutehender le niveau de protection des donneacutees agrave caractegravere personnel des voyageurs
sur le logiciel CONEKTO TRANSPORT par MTOPO PAYMENT SOLUTIONS BF
et les compagnies de transport de personnes (RAHIMO et TSR)
Appreacutecier les dispositifs mise en place par les compagnies de transports et MTOPO
PAYEMENT SOLUTIONS BF en vue de la protection des donneacutees agrave caractegravere
personnel des passagers sur le logiciel CONEKTO TRANSPORT
10
Informer les voyageurs de leurs droits sur la protection de leurs donneacutees agrave caractegravere
personnel sur le logiciel CONEKTO TRANSPORT
Dans le souci drsquoatteindre les objectifs que nous nous sommes fixeacutes il est neacutecessaire de
se poser un certain nombre de questions
2 Les questions de recherche
Les objectifs que nous nous sommes fixeacutes appellent une question principale et des
questions secondaires La question principale peut ecirctre formuleacutee de la maniegravere suivante Les
donneacutees agrave caractegravere personnel des personnes concerneacutees sur le logiciel CONEKTO
TRANSPORT ne sont-elles pas deacutetourneacutees de leur finaliteacute
Cette question principale fait appel agrave drsquoautres questions secondaires Celles-ci
confirmeront ou infirmeront les diffeacuterentes hypothegraveses qui sont formuleacutees Ces questions
secondaires sont les suivantes
Les entreprises exploitant le logiciel CONEKTO TRANSPORT protegravegent-elles
efficacement les donneacutees agrave caractegravere personnel des voyageurs
Quelles sont les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer
une meilleure protection des donneacutees collecteacutees
Quels sont les moyens mis agrave la disposition des personnes concerneacutees par les
responsables de traitement dans la protection de leurs donneacutees personnelles collecteacutees
Pour apporter des reacuteponses agrave ces diffeacuterentes interrogations il est indispensable pour
nous de preacuteciser lrsquointeacuterecirct de notre eacutetude de formuler les hypothegraveses de recherche et de
deacutefinir les concepts cleacutes
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel
A Lrsquointeacuterecirct et les hypothegraveses de recherche
Lrsquointeacuterecirct (1) ainsi que les hypothegraveses de recherches (2) retiendront notre attention dans cette
rubrique
11
1 Lrsquointeacuterecirct de la recherche
Lrsquoutiliteacute de la recherche reacuteside agrave plusieurs niveaux Drsquoabord parce qursquoil nrsquoy a pas
drsquoeacutetudes sur la theacutematique au Burkina Faso Bien que des rapports publics et seacuteminaires meneacutes
par la CIL lrsquoaient abordeacute De mecircme plusieurs auteurs ont fait des recherches sur la protection
des donneacutees agrave caractegravere personnel mais dans drsquoautres domaines Aucune eacutetude sur la protection
des donneacutees agrave caractegravere personnel sur les logiciels nrsquoa eacuteteacute effectueacute au Burkina Faso Ensuite
notre recherche permettra une meilleure connaissance du niveau de protection des donneacutees agrave
caractegravere personnel des voyageurs par MTOPO et les compagnies de transport terrestre (TSR
et RAHIMO) Enfin lrsquoeacutetude pourrait permettre drsquoavoir une ideacutee sur les difficulteacutes auxquelles
sont confronteacutes les voyageurs dans la protection de leurs donneacutees personnelles sur le logiciel
CONEKTO TRANSPORT
Lrsquointeacuterecirct de la recherche qui vient drsquoecirctre deacuteclineacute va srsquoappuyer sur des hypothegraveses qui
seront confirmeacutees ou infirmeacutees dans le cadre de cette recherche
2 Les hypothegraveses de recherche
Pour mieux appreacutehender si les donneacutees agrave caractegravere personnel des voyageurs en geacuteneacuteral
et ceux de RAHIMO et TSR en particulier sont deacutetourneacutees de leur finaliteacute initiale sans leur
consentement notre eacutetude sera baseacutee sur une hypothegravese principale(a) et des hypothegraveses
secondaires(b)
a Lrsquohypothegravese principale
laquo La principale source de violation de la vie priveacutee des voyageurs est le deacutetournement
de la finaliteacute des traitements des donneacutees personnelles autres que celle pour laquelle elles ont
eacuteteacute collecteacutees par les compagnies de transport raquo
A travers cette hypothegravese principale nous pouvons formuler des hypothegraveses
secondaires
12
b Les hypothegraveses secondaires
Les entreprises qui collectent les donneacutees agrave caractegravere personnel des voyageurs ne les
protegravegent pas efficacement
Il nrsquoexiste aucune relation entre les diffeacuterents intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel
des voyageurs
Les voyageurs ne sont pas informeacutes de leurs droits agrave la protection de leurs donneacutees
personnelles collecteacutees par les responsables des traitements
C Le cadre conceptuel
Crsquoest le lieu pour nous de deacutefinir les concepts cleacutes de notre theacutematique Il srsquoagit entre
autres des termes suivants
Protection des donneacutees drsquoutilisateurs agrave caractegravere personnel Dans sa thegravese de doctorat
intituleacute laquo protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce raquo KEIRA
Dari BEKARA deacutefinit la protection des donneacutees personnelles comme laquo lrsquoensemble des mesures
techniques visant agrave assurer le respect du droit agrave la vie priveacutee limiter lrsquoaccegraves aux donneacutees de la
sphegravere priveacutee drsquoun utilisateur explicitement repreacutesenteacute sous forme numeacuterique et mises en jeu
dans le cadre drsquoune application informatique raquo22 Il apparaicirct donc que les donneacutees personnelles
ne sont qursquoune partie de la sphegravere priveacutee La protection de ces donneacutees ne constitue qursquoune
partie de la protection du droit agrave la vie priveacutee mecircme si restreinte au domaine numeacuterique En
revanche la protection de la vie priveacutee on lrsquoa vu nrsquointervient donc pas exclusivement dans le
cadre drsquoapplications informatiques La notion de sphegravere priveacutee apparaicirct dans toutes les activiteacutes
humaines agrave partir du moment ougrave elles ont une dimension sociale23
Donneacutee agrave caractegravere personnel Suivant les textes relatifs agrave la protection des personnes
agrave lrsquoeacutegard de lrsquoutilisation des informations les concernant il est geacuteneacuteralement fait reacutefeacuterence aux
expressions laquo donneacutees nominatives raquo laquo donneacutees personnelles raquo laquo donneacutees agrave caractegravere
personnel raquo24
22 K D BEKARA Protection des donneacutees personnelles coteacute utilisateurs dans le e-commerce France HAL thegravese eacuted2 juin 2014 p 36 23 Idem p 37 24 Lrsquoexpression laquo donneacutee personnelle raquo est utiliseacutee de faccedilon elliptique pour deacutesigner les laquo donneacutees agrave caractegravere personnel
13
En France la loi pionniegravere du 06 janvier 197825 se referait ainsi initialement aux donneacutees
nominatives26Drsquoautres textes internationaux adoptaient cependant lrsquoexpression de donneacutee agrave
caractegravere personnel Crsquoest le cas de la convention du Conseil de lrsquoEurope pour la protection des
personnes agrave lrsquoeacutegard des traitements automatiseacutes des donneacutees agrave caractegravere personnel27 Si les deux
expressions de laquo donneacutee nominative raquo et laquo donneacutee agrave caractegravere personnel raquo ont pu coexister dans
la loi franccedilaise crsquoest lors de la modification en 2004 pour transposer une directive
communautaire que lrsquoexpression donneacutee agrave caractegravere personnel sera geacuteneacuteraliseacutee En effet la loi
informatique et liberteacute modifieacutee se reacutefegravere deacutesormais aux donneacutees agrave caractegravere personnel
Lrsquoancien article 4 de la loi Informatique et liberteacutes consideacuterait comme laquo nominatives les
informations qui permettent sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques auxquelles elles srsquoappliquent raquoLe nouvel article 2
deacutefinit les donneacutees agrave caractegravere personnel comme laquo toute information relative agrave une personne
physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirectement par reacutefeacuterence agrave un
numeacutero drsquoidentification ou agrave un ou plusieurs eacuteleacutements qui lui sont propresraquo Lrsquoobjet de la
protection viseacutee par ces deux dispositions est donc bien lrsquoinformation relative agrave des personnes
physiques identifiables Il nrsquoy a pas de diffeacuterence au fond quant au contenu de ces deux
expressions qui deacutesignent toutes des informations permettant directement ou indirectement
drsquoidentifier les personnes physiques auxquelles elles se rapportent Si lrsquoexpression laquo donneacutee
nominative raquo avait lrsquoinconveacutenient de se focaliser sur le nom en reacuteduisant par la mecircme les
moyens drsquoidentification des personnes lrsquoexpression laquo donneacutees agrave caractegravere personnel raquo est plus
neutre et a lrsquoavantage drsquoindiquer que sont concerneacutees toutes les informations relatives agrave la
personne physique et non exclusivement agrave celles comportant le nom28
Selon le Groupe de lrsquoarticle 2929 sur la protection des donneacutees personnelles le concept
de donneacutees agrave caractegravere personnel est fondeacute sur quatre eacuteleacutements principaux agrave savoir laquo toute
information raquo laquo concernant raquo laquo personne physique raquo laquo identifieacutee ou identifiable raquo
La Loi portant Protection des Donneacutees agrave caractegravere Personnel(LPDP) et lrsquoActe
additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles agrave
25 Loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et aux liberteacutes Cette loi est souvent appeleacutee loi laquo Informatique et liberteacutes raquo 26 Voir notamment lrsquoancien article 4 de la Loi Informatique et Liberteacutes 27 Conseil de lrsquoEurope Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel 28 janvier 1981 Cette Convention est souvent dite laquo Convention 108 raquo Voir eacutegalement ONU (Organisation des nations unies) Principes directeurs pour la reacuteglementation des fichiers informatiseacutes contenant des donneacutees agrave caractegravere personnel 14 deacutecembre 1990 28 Lrsquointeacuterecirct de distinction entre donneacutee nominatives et donneacutees agrave caractegravere personnel 29 Groupe de protection des personnes agrave lrsquoeacutegard des traitements de donneacutees agrave caractegravere personnel ou laquo Groupe de lrsquoarticle 29 raquo Le laquo Groupe de lrsquoarticle 29 raquo a eacuteteacute creacuteeacute par la directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees
14
lrsquoimage de la loi franccedilaise sur la loi informatique30 deacutefinissent la donneacutee agrave caractegravere personnel
comme toute information qui permet sous quelque forme que ce soit directement ou non
lrsquoidentification des personnes physiques notamment par reacutefeacuterence agrave un numeacutero drsquoidentification
ou agrave plusieurs eacuteleacutements speacutecifiques propres leur identiteacute physique psychologique psychique
eacuteconomique culturelle ou sociale
Le nouveau regraveglement de lrsquoUnion Europeacuteenne en son article 4 alineacutea 1 sur la protection
des donneacutees personnelles deacutefinit de maniegravere preacutecise les donneacutees agrave caractegravere personnel comme
laquo toute information se rapportant agrave une personne physique identifieacutee ou identifiable raquo31 Il srsquoagit
drsquoune personne physique qui peut ecirctre identifieacutee directement ou indirectement notamment par
reacutefeacuterence agrave un identifiant tel quun nom un numeacutero didentification des donneacutees de
localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son
identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale La
philosophie du regraveglement eacutetant la protection des donneacutees personnelles des citoyens de lrsquoUnion
Europeacuteenne le regraveglement srsquoapplique uniquement aux personnes physiques Ainsi sont exclues
les donneacutees agrave caractegravere personnel relatives aux personnes morales32 et en particulier aux
entreprises doteacutees de la personnaliteacute juridique et celles relatives aux personnes deacuteceacutedeacutees33Il
faut au preacutealable constater qursquoil srsquoagit drsquoinformations se rapportant agrave des personnes dont
lrsquoutilisation peut porter preacutejudice et neacutecessitent une protection agrave cet eacutegard Au sujet de la presse
eacutelectronique Mme Mallet-Poujol considegravere ainsi que laquo crsquoest tant le contenu eacuteditorial de la
publication qui est susceptible de nuire agrave autrui que lrsquoexistence et la persistance de certaines
donneacutees sur la toile Il nrsquoy a pas forceacutement de risque drsquoatteinte agrave la vie priveacutee mais
accumulation de donneacutees pour certaines anodines mais qui rassembleacutees peuvent ecirctre de
nature agrave porter preacutejudice aux personnes concerneacutees raquo
Programme drsquoordinateurs Le programme drsquoordinateur appeleacute eacutegalement laquo logiciel raquo
est laquo lrsquoensemble drsquoinstructions exprimeacutees par des mots des codes des scheacutemas ou par toute
autre forme pouvant une fois incorporeacutee dans un support deacutechiffrable par une machine faire
accomplir ou faire obtenir une tache ou un reacutesultat particulier par un ordinateur ou par un
30 Il srsquoagit respectivement de lrsquoarticle 2 art 2 et art1 de la loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel de la loi ndeg 2004-801 du 6 aoucirct 2004 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel modifiant la loi ndeg 78-17 du 6 janvier 1978 relative agrave lrsquoinformatique aux fichiers et liberteacutes et lrsquoActe additionnel ASA101 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees personnelles 31 Article 4 al 1er du Regraveglement 2016679 32 En principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A contrario les personnes morales se trouvent exclues du champ de cette protection Toutefois dans certaines situations la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement deacutesigneacutees dans un fichier 33 Sur ce dernier point eacutetonnant notamment pour des donneacutees meacutedicales qui pourraient concerner des apparenteacutees vivantes notons que le regraveglement permet aux Etats Membres de prendre les dispositions qursquoils estimeront utiles
15
proceacutedeacute eacutelectronique capable de faire de traitement de lrsquoinformation raquo34Il reacutesulte de cette
deacutefinition que deux eacuteleacutements caracteacuterisent le programme drsquoordinateur35Il srsquoagit drsquoune
composante textuelle(code source) et un dispositif permettant lrsquoaccomplissement de certaines
taches(codes objets)
Le logiciel en tant que programme drsquoordinateur est proteacutegeacute par le droit drsquoauteur36sous certaines
conditions par le droit des brevets37
Le logiciel CONEKTO TRANSPORT selon le Directeur Geacuteneacuteral de MTOPO
PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT le logiciel
CONEKTO TRANSPORT est deacutefini comme laquo une plateforme de Gestion de compagnie de
transport routier deacutenommeacutee CONEKTO TRANSPORT permettant agrave tout client deacutetenteur drsquoune
licence drsquoutilisation drsquoavoir une solution de gestion de toute son activiteacute raquo Il preacutecise eacutegalement
que crsquoest un logiciel en mode SAS (Software As a Service) crsquoest-agrave-dire que le logiciel en tant
que service deacutesigne un modegravele dexploitation commerciale des logiciels dans lequel ceux-ci
sont installeacutes sur des serveurs distants plutocirct que sur la machine de lutilisateur Les clients ne
paient pas de licence dutilisation pour une version mais utilisent librement le service en ligne
ou plus geacuteneacuteralement payent un abonnement peacuteriodique Ce logiciel permet aux compagnies
de transport de geacuterer complegravetement leurs activiteacutes drsquoimprimer des tickets de voyages
lrsquoenregistrement des passagers lrsquoimprimer des eacutetiquettes de colis et de
bagages lrsquoembarquement des passagers et le traccedilage des colis et des bagages Il permet aux
voyageurs drsquoeffectuer les reacuteservations des tickets de voyage en ligne agrave travers une application
mobile NTERI38 qui est mise agrave leur disposition par MTOPO PAYEMENT SOLUTIONS BF
La deacutefinition des concepts cleacutes de notre thegraveme nous conduit agrave faire un tour des diffeacuterents
eacutecrits ayant trait agrave lrsquoobjet de notre eacutetude
34 point 8) du lexique annexeacute agrave la loi ndeg032-99 AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et artistique 35 DW KABRE Droit de la technologie de lrsquoinformation et de la communication opcit p12 36laquo Comme tout œuvre artistique et litteacuteraire le logiciel nrsquoest digne de protection que srsquoil preacutesente une certaine originaliteacute permettant drsquoindividualiser son auteur raquo D W KABRE Droit de la Technologie de lrsquoInformatique et de la teacuteleacutecommunication opcit p11 et un arrecirct de la cour de cassation franccedilaise du 17 octobre 2012 37 Le logiciel en tant que tel ne peut acceacuteder agrave la protection par le droit de brevet puisqursquoil nrsquoimplique aucune invention toutefois lorsqursquoil est incorporeacute en un proceacutedeacute industriel il peut ecirctre breveteacute 38 Cette application a eacuteteacute deacutetourneacutee par le chef de projet informatique de MTOPO en Aout 2018Des proceacutedures judiciaires sont deacuteclencheacutees agrave lrsquoencontre du deacutelinquant
16
Section II Cadre meacutethodologique de lrsquoeacutetude
Le cadre meacutethodologique de la recherche sera preacutesenteacute au moyen de deux paragraphes
Le premier paragraphe preacutesente le champ de lrsquoeacutetude agrave savoir MTOPO PAYMENT
SOLUTIONS BF la CIL la socieacuteteacute TSR RAHIMO TRANSPORT le public cible et
lrsquoeacutechantillonnage Le deuxiegraveme paragraphe sera axeacute sur la meacutethodologie de collecte de
traitement et drsquoanalyse des donneacutees
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage
Dans ce paragraphe il sera question de deacutecrire le champ de notre eacutetude (A) et
drsquoidentifier le public cible et lrsquoeacutechantillon choisi pour la veacuterification de nos hypothegraveses (B)
A Le champ de lrsquoeacutetude
Nous procegravederons drsquoabord par un bref aperccedilu de MTOPO PAYEMENT SOLUTIONS BF
de la CIL (1) puis par une preacutesentation des compagnies de transport terrestre de personnes agrave
savoir TSR (2)
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL
a Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF
MTOPO PAYEMENT SOLUTIONS BF est un eacutetablissement de technologie Elle est
creacuteeacutee au Burkina Faso en 2017 et srsquoest constitueacute en une Socieacuteteacute agrave Responsabiliteacute Limiteacutee
(SARL) avec un capital social de 10 000 000 FCFA Son siegravege social est situeacute agrave OUAGA 2000
11 BP 606 Ouagadougou et elle est immatriculeacutee au Registre du Commerce et du Creacutedit
Mobilier sous le numeacutero BFOUA 2017 B2711 Elle est une socieacuteteacute unipersonnelle crsquoest-agrave-dire
constitueacutee drsquoun seul associeacute Elle a son siegravege agrave Ouaga 2000 sur lrsquoavenue PASCAL ZABRE
Son Directeur Geacuteneacuteral actuel est Monsieur Seny GANEMTORE lrsquoassocieacute unique
Missions MTOPO PAYMENT SOLUTIONS a pour mission de mettre en œuvre le
systegraveme de Massachusetts Institute Technology (MIT) en Afrique en geacuteneacuteral et au Burkina Faso
en particulier laquo en Connectant les entreprises agrave leur environnement raquo en vue de deacutebloquer leur
potentiel de croissance Et ceci
17
en permettant aux petites et moyennes entreprises africaines de combler leur retard et
drsquoecirctre compeacutetitives face agrave leur environnement en eacutevolution rapide
en eacutequipant des commerccedilants avec des outils de gestion et des outils danalyse de classe
mondiale et en les inseacuterant dans un eacutecosystegraveme de paiement sans numeacuteraire via une
plate-forme de traitement des paiements seacutecuriseacutes
en assurant des paiements sans numeacuteraire et transparents partout agrave travers une
passerelle unique
en creacuteant des partenariats et des synergies avec tous les acteurs Opeacuterateurs mobiles
money banques commerccedilants et utilisateurs
Organigramme de septembre 2018
b Bref aperccedilu de la Commission Informatique et Liberteacutes
La Commission de lrsquoInformatique et des Liberteacutes (CIL) est une Autoriteacute administrative
indeacutependante creacuteeacutee par la Loi Ndeg010-2004AN du 20 avril 2004 portant protection des donneacutees
agrave caractegravere personnel Elle est situeacutee agrave Ouaga 2000 sur Boulevard Mouammar Kadhafi 01BP
1606 Ouagadougou Elle est preacutesideacutee par Marguerite OUEDRAOGOBONANE
Elle est fonctionnelle depuis deacutecembre 2007
La commission compte neuf (09) membres nommeacutes en conseil des ministres pour un
mandat de cinq ans renouvelables une fois Elle se compose ainsi qursquoil suit
Deux (02) magistrats repreacutesentant le pouvoir judiciaire
Deux (02) deacuteputeacutes repreacutesentant lrsquoAssembleacutee Nationale
Deux (02) personnaliteacutes issues des associations nationales œuvrant dans le domaine des
droits humains
Direction Geacuteneacuterale
Service
juridique
service
support
Direction
commerci
al et
marketing
Direction
corporate
affaires
Direction
technique
Direction
des
finances
18
Deux (02) personnaliteacutes issues des associations nationales de professionnels de
lrsquoinformatique
Une (01) personnaliteacute repreacutesentant lrsquoexeacutecutif deacutesigneacutee par le Preacutesident du Faso
La CIL est dirigeacutee par un preacutesident nommeacute par le Chef de lrsquoEtat parmi les membres
Le preacutesident est secondeacute par un Vice-preacutesident eacutelu par ses pairs
Ses principales missions sont
Informer les personnes de leurs droits et obligations en matiegravere de traitement des donneacutees
agrave caractegravere personnel
Reacuteguler en veillant au respect des formaliteacutes preacutealables agrave tout traitement de donneacutees agrave
caractegravere personnel
Controcircler la conformiteacute des traitements aux dispositions de la loi Ndeg 010-2004AN du 20
avril 2004 portant protection des donneacutees agrave caractegravere personnel quel qursquoen soit le
responsable
Proteacuteger les droits des personnes
Anticiper en proposant au Gouvernement toutes mesures leacutegislatives ou reacuteglementaires
de nature agrave adapter la protection des liberteacutes agrave lrsquoeacutevolution des TIC
Pour reacuteussir sa mission la CIL dispose drsquoun pouvoir de controcircle des organismes publics et
priveacutes et un pouvoir de sanction et de deacutenonciation au parquet des contrevenants agrave la loi portant
protection des donneacutees agrave caractegravere personnel
La Commission pour son fonctionnement srsquoappuie sur les services administratifs suivants
Le Secreacutetariat geacuteneacuteral (SG)
La Direction de lrsquoExpertise Technique et du Controcircle (DETC)
La Direction des Affaires Juridiques et du Contentieux (DAJC)
La Direction des Affaires Administratives et Financiegraveres (DAAF)
La Direction de la Communication et des Relations Publiques (DCRP)
2 Une preacutesentation du TSR
La socieacuteteacute Transport Sana Rasmaneacute en abreacutegeacute TSR39 est neacutee en 1998 sous forme drsquoune
entreprise individuelle A partir de 2002 elle prendra la forme drsquoune Socieacuteteacute agrave Responsabiliteacute
Limiteacutee (SARL) avec une flotte de plus drsquoune centaine de Bus ainsi qursquoune ouverture deacutesormais
tourneacutee vers lrsquoInternational
39 Voir laquo httpwwwgroupe-tsrcomspipphprubrique4 laquo consulteacute le( 22022019 agrave 12h 20)
19
Quinze anneacutees apregraves sa creacuteation elle a multiplieacute sa flotte de Bus eacutelargie sa cartographie
nationale en deacuteployant ses gares et ses agences dans toutes les reacutegions du Burkina Faso Sa
forme sociale ainsi que son capital social ont eacutegalement eacutevolueacute Socieacuteteacute agrave Responsabiliteacute Limiteacute
avec un capital de 5 000 000 de Francs CFA TSR est devenue en 2013 une Socieacuteteacute Anonyme
avec une augmentation notable de son capital qui a atteint 200 000 000 FCFA La socieacuteteacute TSR
emploie plus de quatre cents (400) employeacutes contractuels et prestataires confondus
La Socieacuteteacute TSR est coiffeacutee par un Directeur Geacuteneacuteral qui est secondeacute par un Directeur Geacuteneacuteral
Adjoint le service financier de TSR est repreacutesenteacute par un Chef Comptable et un Controcircleur
Interne Les agences ou les gares sont administreacutees par un Chef drsquoAgence ou de Gare un
comptable un ou plusieurs guichetiers TSR dispose en outre drsquoun service de Ressources
Humaines et Juridique Lrsquoensemble de son administration fonctionne suivant un manuel de
proceacutedure eacutetabli pour sa bonne marche
Aujourdrsquohui plus qursquohier encore le Burkina Faso compte eacutenormeacutement sur les services
rendus par la socieacuteteacute TSR pour contribuer au deacutesenclavement des populations et au
deacuteveloppement de son commerce La socieacuteteacute TSR se place parmi les plus compeacutetitives dans le
secteur du Transport au Burkina Faso aussi est- elle devenue le leader national dans le domaine
du transport avec un trafic routier tregraves intense agrave chaque heure un Deacutepart et une Arriveacutee
Le Siegravege principal de TSR se trouve dans la capitale du Burkina Faso Il est situeacute dans
le Quartier commercial de Ouagadougou appeleacute laquo Gounghin raquo
Monsieur SANA Rasmaneacute est le fondateur de TSR Il est coactionnaire avec Monsieur
SANA Idrissa
B Le public cible et lrsquoeacutechantillonnage
Cette rubrique a pour objet de deacuteterminer le public cible de notre eacutetude (1) et de preacuteciser
lrsquoeacutechantillon qui sera choisi pour mener lrsquoenquecircte (2)
1 Le public cible
Notre travail est axeacute sur quatre (04) groupes de personnes notamment les responsables
des compagnies de transport (TSR et RAHIMO TRANSPORT) les usagers des compagnies de
transport terrestre de personnes les responsables de la CIL et les responsables de MTOPO
PAYEMENT SOLUTIONS BF Le choix porteacute sur ces personnes se justifie par le fait qursquoelles
sont au cœur de la probleacutematique que soulegraveve notre thegraveme
20
Par exemple les usagers des compagnies de transports peuvent nous renseigner sur les
difficulteacutes rencontreacutees dans le cadre de la protection de leurs droits sur le logiciel CONEKTO
TRANSPORT et leur ignorance quant agrave lrsquoexistence de la loi sur la protection des donneacutees
personnelles Les responsables de MTOPO PAYMENT SOLUTIONS BF et les compagnies de
transport pourront nous renseigner sur les mesures organisationnelles et techniques mises en
place dans le cadre de la protection des donneacutees personnelles et les diffeacuterents traitements
effectueacutes sans le consentement des voyageurs contrevenant le principe de respect de la finaliteacute
des traitements mettant en jeu la vie priveacutee des voyageurs
Le public cible eacutetant deacutetecteacute il faut preacuteciser notre eacutechantillon ou encore lrsquoensemble des
individus qui seront concerneacutes par lrsquoenquecircte
2) Lrsquoeacutechantillon de la recherche
Parmi ces personnes cibleacutees nos outils de collecte des donneacutees seront adresseacutes agrave un
eacutechantillon de 1010 personnes reacuteparties comme suit
01 responsable de la socieacuteteacute MTOPO PAYEMENT SOLUTIONS BF
03 responsables de la CIL
03 responsables du TSR
03 responsables de RAHIMO TRANSPORT
200 voyageurs de RAHIMO TRANSPORT
800 voyageurs de TSR
Nous avons opteacute pour un eacutechantillon aleacuteatoire en ce que nous estimons que les reacuteponses
qui seront donneacutees reflegravetent la reacutealiteacute sur le terrain Le public cible et lrsquoeacutechantillonnage eacutetant
preacuteciseacutes il convient maintenant de deacuterouler la meacutethodologie de collecte des donneacutees ainsi que
les difficulteacutes et les limites de la recherche
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche
Nous aborderons drsquoune part la meacutethode et les instruments de collecte des donneacutees (A)
et drsquoautre part les difficulteacutes et limites de la recherche(B)
21
A La meacutethode et les instruments de collecte des donneacutees
Dans tout travail de recherche les informations sont recueillies par lrsquoutilisation drsquoune
meacutethode (1) preacutecise et aux moyens drsquoinstruments de collecte de donneacutees (2)
1 La meacutethode de collecte des donneacutees
En ce qui concerne la collecte des donneacutees nous avons opteacute pour la meacutethode quantitative
avec pour objectif de recueillir des informations sur les diffeacuterents aspects de notre thegraveme Il
srsquoagit entre autres
Les difficulteacutes rencontreacutees par les voyageurs dans le processus de protection de leur
droit
Les mesures techniques et organisationnelles mises en place par les responsables de
traitement dans la protection des droits des personnes concerneacutees afin drsquoappreacutecier le
niveau de protection des donneacutees personnelles
La reacuteutilisation des donneacutees personnelles agrave drsquoautre fin autre que celle preacutevue dans le
contrat
La non information des voyageurs de leurs droits sur la protection des donneacutees agrave
caractegravere personnel
Le niveau de coopeacuteration entre lrsquoentreprise de technologie et ses clients dans le
processus de protection des donneacutees drsquoutilisateurs agrave caractegravere personnel
2 Les instruments de collecte des donneacutees
Plusieurs instruments sont utiliseacutes dans le cadre de la recherche appliqueacutee Nous en
avons choisi deux (2) Il srsquoagit des questionnaires et des guides drsquoentretien semi-dirigeacute
Les questionnaires ont eacuteteacute conccedilus agrave lrsquoadresse des voyageurs et quelques employeacutes du
TSR et RAHIMO TRANSPORT Lrsquoutilisation de cet outil se justifie par le fait qursquoil permet
drsquoatteindre plusieurs individus en mecircme temps Son inconveacutenient est qursquoil est susceptible de
fournir des informations erroneacutees Par ailleurs les questionnaires sont des outils qui facilitent
la collecte de donneacutees quantitatives
Pour ce qui est des informations recueillies aupregraves du Directeur Geacuteneacuteral de MTOPO
PAYMENT SOLUTIONS BF et des compagnies de transport des responsables des structures
administratives et des personnes ressources des guides drsquoentretien ont eacuteteacute eacutelaboreacutes agrave cet effet
Les guides drsquoentretien permettent de recueillir des donneacutees qualitatives
22
Ils ont lrsquoavantage de creacuteer une certaine interaction entre lrsquoenquecircteur et la personne soumise agrave
lrsquoentretien Cet outil permet une libre expression de lrsquoenquecircteacute qui peut revenir sur ses propos agrave
tout moment Mais lrsquoentretien semi-dirigeacute exige la preacutesence effective de lrsquoenquecircteur qui doit
ecirctre attentif pour ne pas perdre le fil des eacutechanges Pour mener agrave bien un entretien semi-dirigeacute
il faut agrave lrsquoavance soumettre aux inteacuteresseacutes un guide drsquoentretien afin que ceux-ci se preacuteparent
Les donneacutees collecteacutees subiront un traitement statistique agrave lrsquoaide du logiciel Excel Ces donneacutees
feront lrsquoobjet drsquoune analyse qualitative et quantitative
Dans le cadre de cette recherche nous avons eacuteteacute confronteacutes agrave certaines difficulteacutes
B Les difficulteacutes et les limites de la recherche
Nous eacutevoquerons drsquoabord les difficulteacutes (1) puis les limites de cette recherche (2) dans
cette rubrique
1 Les difficulteacutes de la recherche
Nous avons eacuteteacute confronteacutes agrave des difficulteacutes tout au long de cette recherche Il srsquoagit
drsquoabord de lrsquoindisponibiliteacute des documents qui traitent de la probleacutematique abordeacutee dans cette
œuvre Plusieurs bibliothegraveques de la place ont eacuteteacute visiteacutees sans succegraves en raison du fait que
jusqursquoagrave preacutesent au Burkina Faso aucun eacutecrit nrsquoa abordeacute cette theacutematique ce qui nous a obligeacute agrave
nous inspirer des meacutemoires et thegraveses onlines et agrave des supports numeacuteriques drsquoorigine eacutetrangegravere
Leur disponibiliteacute aurait ducirc contribuer agrave lrsquoameacutelioration de la qualiteacute scientifique de notre
document
Par ailleurs nous avons eacuteteacute confronteacutes agrave drsquoautres obstacles pendant la phase drsquoenquecircte
sur le terrain Certains acteurs cleacutes de notre eacutetude ne respectaient pas les rendez-vous qui nous
ont eacuteteacute fixeacutes Ce qui ne nous a pas permis de disposer de certaines donneacutees afin de mener des
analyses approfondies Par exemple les chefs de la socieacuteteacute TSR et RAHIMO TRANSPORT
nrsquoont pas voulu au deacutebut un entretien sur la protection des donneacutees personnelles Ils arguent
de ce que TSR et RAHIMO TRANSPORT ne sont pas les seules socieacuteteacutes au Burkina Faso
utilisant des donneacutees personnelles pour ecirctre la cible de nos recherches Crsquoest suite agrave nos
neacutegociations pendant plusieurs jours qursquoils nous ont reccedilus dans leur socieacuteteacute Malgreacute
lrsquoautorisation drsquoenquecircte et drsquoentretien certains chefs drsquoentreprises en raison de leur neacutegligence
ou drsquoindisponibiliteacute nrsquoont pas pu nous recevoir pour des entretiens que nous avons solliciteacutes
Aussi les questionnaires conccedilus afin de recueillir des donneacutees agrave mecircme de nous aider agrave
la veacuterification de nos hypothegraveses ne nous ont pas eacuteteacute retourneacutes en inteacutegraliteacute
23
De mecircme les interrogatoires ont eacuteteacute faits agrave lrsquooral Certains voyageurs approcheacutes nrsquoont pas pu
donner une reacuteponse en raison de leur ignorance et de leur timiditeacute
La derniegravere difficulteacute agrave laquelle nous avons eacuteteacute confronteacutees est lrsquoinsuffisance des
ressources financiegraveres En effet la reproduction des questionnaires des guides drsquoentretien ainsi
que lrsquoimpression du document finaliseacute nrsquoont pas eacuteteacute facile Malgreacute ces difficulteacutes nous avons
tenu agrave produire cette œuvre afin de contribuer agrave notre faccedilon au deacuteveloppement du capital
humain dans notre pays Apregraves ce bref rappel sur les difficulteacutes de la recherche nous allons agrave
preacutesent eacutevoquer les limites de la preacutesente eacutetude
2 Les limites de lrsquoeacutetude
Nous entendons agrave travers cette eacutetude apporter notre part contributive agrave la reacutesolution du
problegraveme de reacuteutilisation des donneacutees personnelles agrave drsquoautres finaliteacutes autres que celle pour
laquelle elles ont eacuteteacute collecteacutees sans le consentement des personnes concerneacutees
De ce point de vue nous sommes conscients que notre eacutetude peut ne pas appreacutehender
tous les aspects lieacutes agrave cette probleacutematique Donc nous ne preacutetendons pas agrave lrsquoexhaustiviteacute dans
le cadre de nos diffeacuterentes analyses
En outre la question de la protection des donneacutees personnelles neacutecessite un champ
drsquoeacutetude plus vaste Mais compte tenu du temps et des ressources dont nous disposons la
recherche a eacuteteacute exclusivement consacreacutee au cas de MTOPO PAYMENT SOLUTIONS BF et
les compagnies de transport Par conseacutequent il se posera sans doute un problegraveme de
geacuteneacuteralisation des conclusions auxquelles nous sommes parvenues
Le cadre theacuteorique et meacutethodologique ayant eacuteteacute boucleacute nous passerons maintenant agrave
lrsquoeacutetude de la notion de protection des donneacutees agrave caractegravere personnel au Burkina Faso
24
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE
Il est eacutevident que le point de deacutepart de tout travail juridique est constitueacute de sources
formelles de droit Nul ne peut en effet preacutetendre faire œuvre juridique en ignorant le postulat
essentiel suggeacutereacute par le professeur Vittorio Villa pour qui tout opeacuterateur juridique doit avant
tout connaicirctre les paradigmes du droit positif Pour ce faire dans ce chapitre nous allons
eacutetudier dans un premier temps le cadre juridique de la protection des donneacutees personnelles
(section I) et dans un second temps les conditions drsquoutilisations des donneacutees agrave caractegravere
personnel en droit burkinabeacute (section II)
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel
Dans cette section nous eacutetudierons drsquoune part le cadre juridique international
(paragraphe I) et drsquoautre part le cadre juridique national (paragraphe II)
Paragraphe I Le cadre juridique international
Il faut entendre par leacutegislation internationale toute regravegle de droit qui srsquoapplique agrave deux
(02) ou plusieurs Eacutetats ou agrave plusieurs sujets du droit international Notre eacutetude est circonscrite
agrave lrsquoanalyse de la leacutegislation burkinabegrave en matiegravere de protection des donneacutees personnelles
Cependant lrsquoeacutevocation des leacutegislations internationales nous permettra de faire une eacutetude
compareacutee de ces leacutegislations par rapport agrave la leacutegislation burkinabeacute
Dans ce paragraphe il sera question drsquoaborder la leacutegislation europeacuteenne (A) et la
leacutegislation onusienne et africaine (B)
A La leacutegislation Europeacuteenne
La leacutegislation europeacuteenne en matiegravere de protection des donneacutees personnelles est
consacreacutee par le Conseil de lrsquoEurope (1) et par lrsquoUnion Europeacuteenne (2)
25
1 Conseil de lrsquoEurope
En Europe la conseacutecration du droit au respect de la vie priveacutee en tant que concept
juridique intervient seulement agrave la suite de la seconde guerre mondiale et du deacuteveloppement
conseacutequent des droits de lrsquoHomme40Le droit au respect de la vie priveacutee est inscrit comme un
droit fondamental agrave lrsquoarticle 8 de la Convention Europeacuteenne des Droits de lrsquoHomme41 (ci-apregraves
laquo CEDH raquo) srsquoest indeacuteniablement inspireacutee de lrsquoarticle 12 de la Deacuteclaration Universelle des Droits
de lrsquoHomme des Nations Unies42 de 1948Ce droit au respect de la vie priveacutee comporte une
double dimension drsquoune part le droit agrave lrsquointimiteacute crsquoest-agrave-dire le droit de ne pas laisser exposer
publiquement des informations personnelles et drsquoautre part un droit agrave lrsquoautonomie personnelle
selon lequel chacun peut mener sa vie comme il lrsquoentend43Ainsi la protection des donneacutees
personnelles est consacreacutee par lrsquoarticle 8 de la CEDH Lrsquoarticle 8 paragraphe 2 de la CEDH
admet des ingeacuterences lorsqursquoelles sont neacutecessaires agrave la seacutecuriteacute nationale ou agrave la deacutefense de
lrsquoordre et agrave la preacutevention des infractions peacutenales dans une socieacuteteacute deacutemocratique44
La jurisprudence de la Cour europeacuteenne des droits de lrsquoHomme accorde une attention
particuliegravere agrave lrsquoeacutegard de la confidentialiteacute des donneacutees meacutedicales et au rocircle que joue le
consentement du patient dans la divulgation de ses donneacutees En effet ces donneacutees constituent
par leur nature des informations profondeacutement intimes agrave propos de la vie priveacutee du patient En
conseacutequence il nrsquoest permis de deacuteroger au secret meacutedical et agrave lrsquoexigence du consentement du
patient que dans des cas exceptionnels et apregraves pondeacuteration des inteacuterecircts en preacutesence45
La Convention pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel (connue sous le nom de Convention108) adopteacutee en 1981 par le
Conseil de lrsquoEurope est jusqursquoici la seule convention agrave vocation internationale46
40 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique meacutemoire LIEGE universiteacute France eacuted2018 p10 41 Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH) signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et entreacutee en vigueur le 3 septembre 1953 42 Deacuteclaration universelle des droits de lrsquohomme adopteacutee le 10 deacutecembre 1948 agrave Paris par lrsquoAssembleacutee geacuteneacuterale des Nations Unies Cette deacuteclaration nrsquoa pas de porteacutee juridique en tant que telle elle nrsquoa qursquoune valeur de proclamation de droit 43 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p10 44 Lrsquoarticle 8 de la Convention europeacuteenne des droits de lrsquoHomme 45 Lrsquoauteur poursuit avec une illustration de lrsquoarrecirct Z c Finlande ougrave la Cour a jugeacute que la reacuteveacutelation par des meacutedecins drsquoun eacutetat de seacuteropositiviteacute drsquoune personne sans son consentement alors que cette personne est contrainte par la justice agrave teacutemoigner ne peut se justifier que dans lrsquointeacuterecirct des poursuites pour homicide volontaire dirigeacutees contre son mari suspecteacute de lrsquoavoir contamineacutee Cour eurDH Z c Finlande 25 feacutevrier 1997 req ndeg2200993 46 Convention ndeg108 pour la protection des personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope La convention compte actuellement 51 Eacutetats Parties agrave savoir les 47 Eacutetats membres du Conseil de lrsquoEurope et lrsquoUruguay lrsquoicircle Maurice le Seacuteneacutegal et la Tunisie LrsquoArgentine le Burkina Faso le Cap Vert et le Maroc ont eacutegalement eacuteteacute inviteacutes agrave y adheacuterer et le Mexique vient drsquoen faire la demande
26
Malgreacute une interpreacutetation eacutevolutive et dynamique de lrsquoarticle 8 de la CEDH le droit a
besoin de srsquoadapter agrave la mutation socieacutetale et aux deacuteveloppements technologiques pour faire
en sorte de proteacuteger de maniegravere approprieacutee les individus47 Par conseacutequent le Conseil de
lrsquoEurope adopte le 28 janvier 1981 une leacutegislation particuliegravere agrave la protection des donneacutees
personnelles la Convention ndeg108 pour la protection des personnes agrave lrsquoeacutegard du traitement
automatiseacute des donneacutees agrave caractegravere personnel48En 1999 elle est modifieacutee afin de pouvoir
permettre agrave lrsquoUnion Europeacuteenne drsquoy adheacuterer
La Convention ndeg108 est le premier et reste agrave ce jour le seul instrument international
contraignant ayant pour objet la protection des personnes contre lrsquousage abusif du traitement
automatiseacute des donneacutees agrave caractegravere personnel De par sa vocation universelle elle dispose de la
faculteacute de remeacutedier agrave lrsquoabsence drsquoune convention mondiale dans ce domaine
La Convention eacutenonce les droits dont dispose lrsquoindividu sur ses donneacutees personnelles
tels que le droit agrave lrsquoinformation49 le droit drsquoaccegraves aux donneacutees50 le droit agrave lrsquoeffacement51 ainsi
que les principes directeurs que les acteurs tant priveacutes que publics doivent respecter lors du
traitement des donneacutees comme par exemple le principe de minimisation52 de loyauteacute ou encore
de proportionnaliteacute53 Une partie est eacutegalement consacreacutee au transfert des donneacutees hors Europe
et aux donneacutees sensibles qui requiegraverent une protection particuliegravere
Apregraves avoir eacutevoqueacute la leacutegislation en matiegravere de protection des donneacutees personnelles
consacreacutees par le CE nous eacutetudierons celle de lrsquoUE
2 Union Europeacuteenne
LrsquoUE a consacreacute des directives(a) et un nouveau regraveglement sur la protection des donneacutees
agrave caractegravere personnel(b)
47J RIDEAU Les droits fondamentaux dans lrsquoUnion europeacuteenne Bruxelles Bruylant 2009 p 61 48 Convention ndeg108 preacuteciteacutee 49 Le droit agrave lrsquoinformation signifie que la personne concerneacutee a droit agrave ecirctre informeacute par le responsable des traitements des donneacutees le destinataire des traitements la dureacutee de la conservation des donneacutees ainsi que lrsquoeacuteventuelle utilisation des donneacutees non compatible avec la finaliteacute initiale 50 Le droit drsquoaccegraves aux donneacutees signifie que la personne concerneacutee a le droit drsquoacceacuteder agrave ses donneacutees personnelles aupregraves des responsables des donneacutees pour veacuterifier la conformiteacute de traitement de ses donneacutees agrave la loi 51 Droit agrave lrsquoeffacement signifie que toute personne physique dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erroneacutees 52 Le principe de minimisation signifie que la personne concerneacutee a le droit dobtenir du responsable du traitement pour la limitation du traitement 53 Principes de liceacuteiteacute agrave respecter lors du traitement sont des principes directeurs de traitement des donneacutees personnels tels que le consentement respect de la finaliteacute des traitements deacutelai de conservation des donneacuteeshellip
27
a Les directives relatives agrave la protection des donneacutees agrave caractegravere personnel
Directive 9546CE
Le 24 octobre 1995 la Commission adopte la directive 9546CE relative agrave la protection
des donneacutees54 avec un double objectif assurer la libre circulation des donneacutees entre Etats
membres tout en garantissant un niveau eacutequivalent de protection des donneacutees dans toute
lrsquoUnion La directive eacutenonce les diffeacuterents principes de liceacuteiteacute agrave respecter lors du traitement de
donneacutees personnelles
Directive 200258CE
La Commission europeacuteenne constate que la directive de 1995 est deacutejagrave deacutepasseacutee et
qursquoelle ne peut plus faire face aux nouveaux deacutefis poseacutes par les nouvelles technologies qui
permettent une collecte et un stockage toujours plus important des donneacutees personnelles Au
vu de lrsquoessor des donneacutees qui transitent par voie eacutelectronique la Commission europeacuteenne a
adopteacute en 2002 la directive 200258CE relative au secteur des communications eacutelectroniques
afin drsquoeacutemettre des regravegles plus deacutetailleacutees et particuliegraveres agrave ce domaine55 La directive de 2002
regravegle notamment les questions relatives aux cookies56et au spamming57 Ainsi la directive
affecte directement sur les techniques de marketing des entreprises qui basent essentiellement
leur politique commerciale sur une philosophie de personnalisation du client58Une fois les
directive eacutevoqueacutes nous analyserons le RGPD
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere personnel
Crsquoest le regraveglement ndeg2016679 dit Regraveglement geacuteneacuteral sur la protection des donneacutees
(RGPD ou encore GnDPR en anglais General Data Protection Reacutegulation)59
54 Directive 9546CE du Parlement europeacuteen et du Conseil du 24 octobre 1995 relative agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces donneacutees 55 Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002 concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie priveacutee dans le secteur des communications eacutelectroniques Notons que cette directive sera ensuite modifieacutee par la directive 2009136CE du Parlement europeacuteen et du Conseil du 25 novembre 2009 modifiant la directive 200222CE concernant le service universel et les droits des utilisateurs au regard des reacuteseaux et services de communications eacutelectroniques 56 Les cookies informatiques ou laquo traceurs de connexion raquo sont laquo des fichiers textes stockeacutes sur un terminal (ordinateur smartphone) par exemple lors de la consultation drsquoun site internet de la lecture drsquoun mail 57 Le spamming correspond agrave lrsquoenvoi massif de courriers eacutelectroniques non solliciteacutes le plus souvent agrave des fins publicitaires 58 L Marie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique op cit p8 14 59 Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre circulation de ces
28
Ce texte de lrsquoUnion Europeacuteenne constitue aujourdrsquohui la reacutefeacuterence en matiegravere de protection des
donneacutees agrave caractegravere personnel en raison du fait qursquoelle renforce et unifie la protection des
donneacutees des personnes concerneacutees60 Dans la perspective de modernisation de la directive
9546CE le nouveau regraveglement poursuit comme objectif le renforcement du controcircle de
lindividu sur lrsquoutilisation qui est faite de ses donneacutees notamment en accentuant le rocircle du
consentement et le droit agrave lrsquoinformation61 Lrsquoarticle 3 du RGPD preacutecise que le Regraveglement
srsquoapplique aux traitements des donneacutees effectueacutes dans le cadre des activiteacutes drsquoun eacutetablissement
drsquoun responsable du traitement ou drsquoun sous-traitant sur le territoire de lrsquoUnion que le
traitement ait lieu ou non dans lrsquoUnion62
Le regraveglement geacuteneacuteral sur la protection des donneacutees a eacuteteacute adopteacute le 27 avril 2016 Il est
entreacute en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans lrsquoensemble
des Etats membres le 25 mai 2018 Il tend eacutegalement agrave responsabiliser les autoriteacutes les
entreprises et toutes autres entiteacutes traitant de donneacutees personnelles63 Dans cette optique le
regraveglement eacutetablit pour la premiegravere fois en matiegravere de protection des donneacutees un arsenal de
sanctions en cas drsquoentorse allant jusqursquoagrave des amendes pouvant atteindre les 20 millions drsquoeuros
ou 2 agrave 4 du chiffre drsquoaffaires64 Un vent de panique souffle sur les entreprises inquiegravetes de ne
pas ecirctre en conformiteacute avec le nouveau regraveglement65 On peut raisonnablement penser que ce
nouvel eacuteleacutement va imposer le respect de la nouvelle leacutegislation
Deux constats majeurs ont eacuteteacute agrave lrsquoorigine du RGPD66
Lrsquoinefficaciteacute reacuteveacuteleacutee en 2012 des lois nationales et communautaires agrave proteacuteger les
donneacutees personnelles des citoyens europeacuteens
Lrsquoaffaire SNOWDEN relative agrave une surveillance de masse des citoyens europeacuteens par
les Eacutetats-Unis
donneacutees et abrogeant la directive 9546CE (regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en vigueur le 25 mai 2018 60 M OUEDRAOGO BONANE preacutesidente CIL Burkina Faso aperccedilu Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles et ses implications dans les pays hors union europeacuteenne documentation burkinabeacute 2018 p 11 61 COMMISSION EUROPEENNE Communiqueacute de presse du 4 novembre 2010 laquo Une approche globale de la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion europeacuteenne raquo 62Article 3 du nouveau RGPD
64 Cf aperccedilu de M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles p13 65 LMarie Protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve de legravere numeacuterique opcit p14 66Cf M OUEDRAOGOBONANE sur les implications du Regraveglement geacuteneacuteral sur la protection des donneacutees personnelles opcit p 11
29
Le RGPD concerne tous les acteurs eacuteconomiques et sociaux proposant des biens et
services sur le marcheacute europeacuteen degraves lors que leurs activiteacutes traitent des donneacutees personnelles
des reacutesidents de lrsquoUnion Europeacuteenne67 Seront donc concerneacutes
- les entreprises
- les associations
- les organismes publics mais aussi-les entreprises dont le siegravege est hors de lrsquoUnion
Europeacuteenne mais qui opegraverent au sein de lrsquoUnion europeacuteenne et sur les donneacutees des
citoyens de lrsquoUnion Europeacuteenne
- enfin les sous-traitants dont les activiteacutes entrent dans ce cadre
Lrsquoobjectif primordial du RGPD est de donner aux citoyens europeacuteens des avantages de
controcircle et de visibiliteacute sur leurs donneacutees priveacutees notamment pour savoir quelles sont les
donneacutees personnelles collecteacutees ougrave sont-elles stockeacutees agrave quelles fins agrave qui sont-elles
transfeacutereacutees et jusqursquoagrave quand En un mot elle vise agrave garantir la protection des donneacutees
personnelles et de la vie priveacutee des citoyens europeacuteens par tout responsable de traitement quel
que soit le pays drsquoorigine68
Le principal enjeu pour les entreprises est de savoir en un instant donneacute ougrave sont les
donneacutees et comment pouvoir sur simple demande les collecter et les transmettre agrave la personne
concerneacutee69 Cela suppose que lrsquoentreprise doit connaitre agrave tout moment les donneacutees dont elle
dispose leur localisation lrsquoobjectif de leur collecte leur mode de gestion de stockage de
transfert et drsquoeffacement
Les principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPD Les
principes directeurs du RGPD sont preacutevus aux articles 30 agrave 37 du RGPDIl srsquoagit du principe
67 Article 3-1et 2 du RGPD 68 Idem 69 Dans le mecircme sens article 12 -1 du RGPD
30
de Accountabililty70 du principe de Privance by design71 du principe de Security by default72
du principe de Data Protection Officers73 (DPO)et le principe drsquoeacutetude drsquoimpact74
Il convient de relever que le RGPD vient engager davantage la responsabiliteacute des
responsables de traitement et celle des sous-traitants renforcer les droits des personnes
concerneacutees renforcer les sanctions pour la non-conformiteacute Il est une leacutegislation de reacutefeacuterence
mondiale puisqursquoil protegravege sans failles theacuteoriquement les personnes concerneacutees Enfin lrsquoune
de ses particulariteacutes fondamentales est son applicabiliteacute extraterritoriale75 En effet il srsquoadresse
agrave tous les pays du monde et vise agrave contraindre les geacuteants du Net que sont les GAFAM76 au
respect des donneacutees personnelles des internautes Apregraves avoir eacutevoqueacute le cadre juridique de
lrsquoUnion Europeacuteenne il nous a fallu souligner la leacutegislation onusienne et africaine
B Leacutegislation onusienne et africaine
Nous exposerons dans un premier temps la leacutegislation adopteacutee par les Nations Unies
(1) et dans un second temps celle adopteacutee par lrsquoAfrique (2)
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles
Des travaux importants ont eacuteteacute entrepris au sein des Nations Unies pour eacutelaborer des
principes directeurs en matiegravere de protection des donneacutees gracircce agrave lrsquoimpulsion de Louis Jointe
rapporteur speacutecial en 1980 par la Sous-Commission des droits de lrsquohomme (reacutesolution 12
XXXIII) Ils ont abouti agrave des laquo principes directeurs pour la reacuteglementation des fichiers
informatiseacutes concernant des donneacutees agrave caractegravere personnel raquo enteacuterineacutes par la Sous-
Commission des droits de lrsquohomme degraves 1983 puis adopteacutes par lrsquoAssembleacutee Geacuteneacuterale des
70 LrsquoAccountabililty qui introduit une logique de responsabilisation selon lequel il revient agrave lrsquoentreprise de prendre toutes les dispositions pour garantir sa conformiteacute au RGPD et deacutemontrer agrave lrsquoAutoriteacute de controcircle dont elle relegraveve qursquoelle a rempli ses obligations 71 Privacy by design signifie que la protection des donneacutees personnelles est prise en compte degraves la conception du produit ou du service notamment dans le systegraveme drsquoinformations de lrsquoentreprise au sein drsquoune base de donneacutees ou lors de la conception drsquoune application 72 Le principe de Security by default ou la seacutecuriteacute par deacutefaut consiste agrave renforcer le rocircle de la seacutecuriteacute dans le systegraveme drsquoinformation En effet le systegraveme drsquoinformation de lrsquoentreprise doit ecirctre seacutecuriseacute agrave tous les niveaux du physique au logique avec par exemple des controcircles drsquoaccegraves ou des systegravemes de preacutevention contre les failles eacuteventuelles de seacutecuriteacute lrsquoentreprise doit ecirctre agrave mesure de deacuteceler si son systegraveme drsquoinformation a eacuteteacute compromis et pouvoir y remeacutedier en un temps record Pour cela elle doit limiter lrsquoaccegraves aux donneacutees personnelles eacuteviter les copies multiples et minimiser les donneacutees stockeacutees 73 La deacutesignation drsquoun Data Protection Officiers (DPO) ou deacuteleacutegueacute agrave la protection des donneacutees personnelles Le DPO doit ecirctre associeacute aux diffeacuterentes questions et probleacutematiques de protection des donneacutees agrave caractegravere personnel de lrsquoentreprise son rocircle est de veiller agrave la conformiteacute au RGPD des traitements effectueacutes et drsquoecirctre le point de contact avec les autoriteacutes de controcircle 74 La reacutealisation drsquoune eacutetude drsquoimpact le RGPD recommande aux entreprises de reacutealiser une eacutetude drsquoimpact avant la mise en œuvre de nouveaux traitements de donneacutees personnelles qui pourraient potentiellement preacutesenter des risques drsquoatteinte aux droits et aux liberteacutes individuelles 75 Le RGPD srsquoapplique hors de lrsquoUnion Europeacuteenne 76 GAFAM signifie Google Apple Facebook Amazon et Microsoft
31
Nations Unies dans sa reacutesolution 4595 du 14 deacutecembre 199077 On retrouve une seacuterie de laquo
principes concernant les garanties minimales qui devraient ecirctre preacutevues dans les leacutegislations
nationales raquo notamment le principe de liceacuteiteacute et de loyauteacute le principe drsquoexactitude le principe
de finaliteacute le principe drsquoaccegraves par les personnes concerneacutees le principe de non-discrimination
le principe de seacutecuriteacute assortis de meacutecanismes de controcircle et de sanctions Ainsi laquo chaque
leacutegislation devrait deacutesigner lrsquoautoriteacute qui en conformiteacute avec le systegraveme juridique interne est
chargeacutee de controcircler le respect des principes preacuteciteacutes Cette autoriteacute devrait preacutesenter des
garanties drsquoimpartialiteacute drsquoindeacutependance agrave lrsquoeacutegard des personnes ou organismes responsables
des traitements et de leur mise en œuvre et de compeacutetence technique raquo (principe 8) Par ailleurs
la reacutesolution vise lrsquoapplication de ces principes directeurs aux fichiers deacutetenus par les
organisations internationales la question deacutejagrave sensible dans le cas drsquoInterpol lrsquoest plus encore
aujourdrsquohui srsquoagissant des listes eacutetablies par le comiteacute contre le terrorisme du Conseil de
seacutecuriteacute Se fondant lui aussi tregraves largement sur lrsquoeacutetude meneacutee agrave bien par Louis Jointe dans le
cadre de la Sous-Commission le Comiteacute des droits de lrsquohomme dans son observation geacuteneacuterale
ndeg16 de 1988 souligne que laquo le rassemblement et la conservation par des autoriteacutes publiques
des particuliers ou des organismes priveacutes de renseignements concernant la vie priveacutee
drsquoindividus sur des ordinateurs dans des banques de donneacutees et selon drsquoautres proceacutedeacutes
doivent ecirctre reacuteglementeacutes par la loi LrsquoEacutetat doit prendre des mesures efficaces afin drsquoassurer
que ces renseignements ne tombent pas entre les mains de personnes non autoriseacutees par la loi
agrave les recevoir les traiter et les exploiter et ne soient jamais utiliseacutees agrave des fins incompatibles
avec le Pacte Il serait souhaitable pour assurer la protection la plus efficace de sa vie priveacutee
que chaque individu ait le droit de deacuteterminer sous une forme intelligible si des donneacutees
personnelles le concernant et dans lrsquoaffirmative lesquelles sont stockeacutees dans des fichiers
automatiques de donneacutees et agrave quelles fins Chaque individu doit eacutegalement pouvoir deacuteterminer
les autoriteacutes publiques ou encore les particuliers ou les organismes priveacutes qui ont ou peuvent
avoir le controcircle des fichiers le concernant Si ces fichiers contiennent des donneacutees personnelles
incorrectes ou qui ont eacuteteacute recueillies ou traiteacutees en violation des dispositions de la loi chaque
individu doit avoir le droit de reacuteclamer leur rectification ou leur suppression raquo (sect10) 10deg Mais
crsquoest eacutevidemment dans le cadre europeacuteen que les efforts les plus fructueux ont eacuteteacute meneacutes agrave
bien78 On peut se demander si les deux pistes de travail qui ont eacuteteacute suivies correspondent agrave
deux eacutetapes ou agrave deux eacutepoques Lrsquoeacutevocation de la leacutegislation des Nations Unies nous amene agrave
souligner celle de lrsquoAfrique
77 Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU 78 Avec lrsquoavegravenement de nouveau RGPD
32
2 LrsquoAfrique
Au niveau communautaire africain il srsquoagit drsquoune part lrsquoacte additionnel ASA10110
du 16 feacutevrier 2010 relatif agrave la protection des donneacutees agrave caractegravere personnel dans lrsquoespace
CEDEAO et drsquoautre part la Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber
espace et la protection des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin
2014 qui constituent les instruments juridiques communautaires Dans le cadre du continent
africain nous examinerons drsquoune part la convention de lrsquoUnion Africaine(A) et drsquoautre part
lrsquoacte additionnel de la CEDEAO(B)
a Convention de lrsquoUnion Africaine
La Convention de lrsquoUnion Africaine sur la seacutecuriteacute dans le cyber espace et la protection
des donneacutees agrave caractegravere personnel ou Convention de Malabo du 27 juin 2014 qui requiert la
ratification de 15 pays africains pour ecirctre effective79
Lrsquoobjet est de proteacuteger les droits des personnes en matiegravere de traitements de donneacutees agrave
caractegravere personnel quels qursquoen soient la nature le mode drsquoexeacutecution ou les responsables de
traitement80Apregraves un bref aperccedilu de la convention de UA il est opportun drsquoeacutevoquer lrsquoacte
additionnel de la CEDEAO
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des donneacutees
agrave caractegravere personnel dans lrsquoespace CEDEAO
Cet instrument juridique pose les jalons du droit agrave la protection des donneacutees personnelles
et invite chaque Eacutetat agrave se doter drsquoune loi et drsquoune autoriteacute de controcircle
Pour rappel lrsquoActe additionnel ASA 10110 de la CEDEAO relatif agrave la protection des
donneacutees agrave caractegravere personnel a eacuteteacute adopteacute par les Chefs drsquoEacutetat de la CEDEAO en feacutevrier 2010
Les sept piliers de lrsquoActe additionnel sont
Deacutefinition du cadre juridique de la protection des donneacutees agrave caractegravere personnel
(Deacutefinitions de notions essentielles objet et champ drsquoapplication)
Formaliteacutes neacutecessaires au traitement (deacuteclarations autorisations les traitements pour le
compte du service public)
79 Convention de Malabo du 27 juin 2014elle nrsquoest pas encore rentreacutee en vigueur pour de faut deacutefaut de nombre de ratification 80 Dans le mecircme sens que toutes les leacutegislations en matiegravere de protection des donneacutees personnelle
33
Cadre institutionnel (autoriteacute administrative indeacutependante pour garantir le respect des
principes et droits consacreacutes)
Principes directeurs (consentement leacutegitimiteacute liceacuteiteacute loyauteacute finaliteacute pertinence
conservation exactitude transparence confidentialiteacute seacutecuriteacute etc)
Principes speacutecifiques (origine raciale ethnique lrsquoeacutetat de santeacute transfert vers un pays
tiers interconnexion de fichiers etc)
Droits des personnes ficheacutees (droit agrave lrsquoinformation drsquoaccegraves drsquoopposition de
rectification ou de suppression)
Obligations du responsable du traitement (confidentialiteacute seacutecuriteacute conservation et de
peacuterenniteacute)
LrsquoActe additionnel entre en vigueur degraves sa publication au Journal Officiel de la
Communauteacute et des Eacutetats membres En 2013 six (06) Eacutetats francophones ont publieacute
lrsquoActe additionnel sur la protection des donneacutees personnelles notamment le Beacutenin le
Burkina Faso Cap-Vert le Ghana le Niger et le Seacuteneacutegal
Paragraphe II cadre juridique interne
Les dispositions internes relatives agrave la protection des donneacutees agrave caractegravere personnel au
Burkina Faso est loi ndeg010 du 20 avril 2004 portant protection des donneacutees agrave caractegravere
personnel Avant drsquoeffectuer une preacutesentation de LPDP (B) nous dirons un mot sur lrsquoorigine de
son adoption(A)
A Origine
Crsquoest agrave la rencontre de Ouagadougou agrave lrsquooccasion de la 9e confeacuterence des chefs drsquoEtats
et de Gouvernements de lrsquoOIF les 26 et 27 novembre 200481 que lrsquoengagement des dirigeants
africains drsquoœuvrer pour une protection des donneacutees personnelles de leurs citoyens Le Burkina
Faso a eacuteteacute le premier pays agrave adopter une loi sur la protection des donneacutees personnelles en
Afrique Drsquoautres pays ont suivi la dynamique Afrique du Sud Cap-Vert Beacutenin Cocircte-
drsquoIvoire Gabon Ghana Guineacutee Conakry Niger Mali Maroc Mauritanie Seacuteneacutegal Tchad
Tunisie Apregraves avoir preacuteciseacute lrsquoorigine de LPDP nous la preacutesenterons
81 Crsquoest la premiegravere convention ayant trait agrave la protection des donneacutees en Afrique
34
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004
La preacutesentation de la LPDP neacutecessite de deacutefinir dans un premier temps ses concepts cleacutes
(1) et dans un second drsquoanalyser son champ drsquoapplication (2)
1 Deacutefinition des concepts cleacutes de la loi
Crsquoest agrave partir de 2004 que le leacutegislateur burkinabegrave a mis en place les regravegles particuliegraveres
agrave la protection des donneacutees agrave caractegravere personnel de ses citoyens82 Avant cette date la vie
priveacutee eacutetait garantie par les regravegles du droit commun83 telles que le code du travail la
responsabiliteacute civile le code Civil code des personnes et de la famille etc Cette leacutegislation a
eacuteteacute eacutelaboreacutee agrave lrsquoimage de la leacutegislation franccedilaise informatique et des liberteacutes (LIL) de 1978
modifieacutee par loi de 200484 La nouvelle loi a pour objet de proteacuteger au Burkina Faso les droits
des personnes en matiegravere de traitement de donneacutees agrave caractegravere personnel quels quen soient sa
nature le mode dexeacutecution ou les responsables85
Elle deacutefinit les donneacutees agrave caractegravere personnel comme toute information qui permet sous
quelque forme que ce soit directement ou non lrsquoidentification des personnes physiques
notamment par reacutefeacuterence-agrave un numeacutero drsquoidentification ou agrave plusieurs eacuteleacutements speacutecifiques
propres agrave leur identiteacute physique -psychologique psychique eacuteconomique culturelle ou
sociale86 Le RGPD donne une deacutefinition satisfaisante de la notion de protection des donneacutees agrave
caractegravere personnel Selon le regraveglement une donneacutee agrave caractegravere personnel est deacutefinie comme
une information se rapportant agrave une personne identifieacutee ou identifiable87 De ce fait avec le
nouveau regraveglement lrsquoadresse IP est consideacutereacutee comme eacutetant une donneacutee personnelle si toute
fois il identifie les personnes concerneacutees88
Le traitement de donneacutees personnelles est deacutefini comme laquo toute opeacuteration ou ensemble
dopeacuterations effectueacutees agrave laide de proceacutedeacutes automatiseacutes ou non par une personne physique ou
morale et appliqueacutees agrave des donneacutees agrave caractegravere personnel telles que la collecte
lrsquoenregistrement lrsquoextraction la consultation lrsquoutilisation la communication par
transmission la diffusion ou toute autre forme de mise agrave disposition le rapprochement ou
82Crsquoest par la loi ndeg010-2004 AN du 20 avril 2004 portant protection des donneacutees agrave caractegravere personnel 83 Article 9 et suivant du code Civil du Burkina Faso 84La leacutegislation burkinabeacute tire exclusivement sa source agrave celle franccedilaise en faisant naitre en elle-mecircme des insuffisances 85 Article 1er de Loi ndeg010-2004AN preacuteciteacute 86 Dans le mecircme sens qursquoarticle 2 de la nouvelle loi informatique et liberteacute preacuteciteacute 87 RGPD Preacuteciteacute 88 Lrsquoadresse IP permet de deacuteterminer la personne connecteacutee avec tel ordinateur agrave tel endroit et agrave telle heure
35
linterconnexion le verrouillage lrsquoeffacement ou la destruction raquo89 Cette deacutefinition appelle
deux observations90 Drsquoabord le traitement des donneacutees dont il est question concerne aussi bien
le traitement par recours aux proceacutedeacutes eacutelectroniques91 que les traitements analogiques92Ensuite
la notion de traitement des donneacutees est deacutefinie largement et les opeacuterations indiqueacutees ne sont pas
exemplatives
Le responsable de traitement srsquoentend selon lrsquoarticle 4 al1er de la LPDP laquo helliphellip La
personne physique ou morale publique ou priveacutee qui a le pouvoir de deacutecider de la creacuteation des
donneacutees agrave caractegravere personnel raquo Cette conception de la notion de responsable de traitement
est particuliegraverement inexacte En effet selon le Professeur Dominique W KABRE ce dernier
ne creacutee pas de donneacutees il nrsquoassure que le traitement et plus exactement il deacutetermine les finaliteacutes
et les moyens de ce traitement La deacutefinition de lrsquoacte Additionnel de la CEDEAO est plus
eacuteclairante Son article 1er deacutefinit le responsable de traitement comme laquo une personne physique
ou morale publique ou priveacutee tout autre organisme ou association qui seul ou conjointement
avec drsquoautre prend la deacutecision de collecter les donneacutees agrave caractegravere personnel et en deacutetermine
le traitement raquo
La personne concerneacutee est la personne dont les donneacutees sont lrsquoobjet de traitement93 En
principe les personnes concerneacutees par la protection leacutegale sont les personnes physiques A
contrario les personnes morales se trouvent exclues du champ de cette protection94 Selon la
leacutegislation franccedilaise la loi trouvera agrave srsquoappliquer srsquoagissant par exemple des personnes
physiques repreacutesentants leacutegaux de personnes morales lorsque celles-ci sont nominativement
deacutesigneacutees dans un fichier95
Le destinataire de traitement est deacutefini comme laquo toute personne physique ou morale
publique ou priveacutee autre que la personne concerneacutee le responsable de traitement habiliteacutee agrave
recevoir communication de ces donneacutees agrave caractegravere personnel raquo96Ainsi toute personne qui est
habiliteacute agrave recevoir des donneacutees agrave caractegravere personnel autre que les personnes susciteacutees est
appeleacutee destinataire de traitement Le nouveau regraveglement de lrsquoUnion Europeacuteenne preacutevoit la
mecircme deacutefinition mais apporte des deacuterogations En effet selon ce regraveglement les personnes
publiques qui sont susceptibles de recevoir communication de donneacutees agrave caractegravere personnel
89 Article 3 de la LPDP et 1er de lrsquoActe additionnel de la CEDEAO 90 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P111 91 Signifie support numeacuterique 92 Signifie support papier 93 Article 4 alineacutea 1 LPDP et article 4 de lrsquoActe additionnel CEDEAO preacuteciteacutes 94 Cf nouveau RGPD la LPDP reste muette en la matiegravere 95 Sur les conditions drsquoapplicabiliteacute de la loi aux personnes morales Voir notamment CNIL Deacutelibeacuteration ndeg 84-28 du 3 juillet 1984 96 Article 4 al2 de la LPDP et art1 de lrsquoacte additionnel de la CEDEAO
36
dans le cadre dune mission denquecircte particuliegravere conformeacutement au droit de lUnion ou au droit
dun Eacutetat membre ne sont pas consideacutereacutees comme des destinataires97Une fois les concepts
deacutefinis nous analyserons le champ drsquoapplication de la LPDP
2 Le champ drsquoapplication de la LPDP
La notion de donneacutees agrave caractegravere personnel ayant eacuteteacute deacutejagrave deacutefinie il reste agrave deacuteterminer
le champ drsquoapplication territoriale de la loi
Il en va ainsi de lrsquoarticle 8 relatif au champ drsquoapplication de la loi Selon cet article la
preacutesente loi srsquoapplique aux traitements automatiseacutes ou non de donneacutees agrave caractegravere personnel
contenues ou appeleacutees agrave figurer dans les fichiers Cela voudrait dire par exemple que la loi nrsquoa
vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun fichier
Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des donneacutees
qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere personnel
en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a constitution de
fichiers Depuis toujours ce sont les traitements automatiseacutes de donneacutees qui ont eacuteteacute perccedilus
comme porteurs de risques pour les personnes Ainsi ne soumettre ces traitements agrave la loi que
srsquoil y a constitution de fichiers revient agrave mettre en marge la loi de nombreux traitements
potentiellement dangereux Certaines contradictions peuvent aussi ecirctre releveacutees concernant par
exemple lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees ayant
pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplication de nombres
de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par la loi
Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le contenu de
la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir si la
reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que les
donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees
ce qui exclut agrave priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation en
preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo
Le mecircme article 8 de la LPDP preacutecise que celle-ci sapplique aux traitements
automatiseacutes ou non de donneacutees agrave caractegravere personnel des responsables de traitement eacutetabli sur
le territoire du Burkina Faso ou sans y ecirctre eacutetabli recourt agrave des moyens de traitement situeacutes
37
sur le territoire du Burkina Faso agrave lexclusion des donneacutees qui ne sont utiliseacutees quagrave des fins de
transit Il relegraveve de cette disposition que LPDP srsquoapplique aux traitements de donneacutees
automatiseacutees telles que les fichiers informatiseacutes de donneacutees ou non automatiseacutes tels que les
fichiers de donneacutees sur support papier reacutealiseacute par des responsables eacutetablis au Burkina Faso ou
qui sans y ecirctre disposent au Burkina Faso des moyens de traitement des donneacutees personnelles
Cette discussion suscite des interrogations98 En effet si la premiegravere hypothegravese ne pose pas de
difficulteacutes il en va tout autrement de la seconde Que faut-il entendre par recours aux moyens
de traitements situeacutes au Burkina Faso Il peut srsquoagir drsquoune entreprise eacutetablie agrave lrsquoeacutetranger mais
qui dispose au Burkina Faso des moyens de collecte des donneacutees agrave caractegravere personnel99
Apregraves lrsquoeacutelaboration du cadre juridique il nous est judicieux drsquoeacutevoquer les conditions de
traitement des donneacutees dans la section II
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel
Le traitement des donneacutees agrave caractegravere personnel doit neacutecessairement obeacuteir agrave des
conditions deacutefinies par les regravegles de protection des donneacutees personnelles Pour cela nous
consacrons dans le paragraphe I les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel et dans le paragraphe II les droits des personnes concerneacutees ainsi que les
obligations des responsables du traitement des donneacutees agrave caractegravere personnel
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave caractegravere
personnel
La leacutegislation en matiegravere de protection des donneacutees personnelles preacutevoit un certain
nombre de principes tels que le principe de consentement preacutealable(A) le principe de loyauteacute
et de liceacuteiteacute(B) le principe de qualiteacute des donneacutees(C) le principe de finaliteacute de traitement(D)
et le principe de confidentialiteacute et de seacutecuriteacute(E)Nous eacutevoquerons successivement ces
principes
A Le principe de consentement preacutealable
Selon le leacutegislateur burkinabegrave tout traitement des donneacutees agrave caractegravere personnel
effectueacute doit avoir reccedilu le consentement des personnes concerneacutees sauf deacuterogation preacutevue par
98 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit P11 99 Crsquoest le cas des GAFAM
38
la loi100Le leacutegislateur ne deacutefinit pas le consentement Il se contente de dire que consentement
doit ecirctre libre eacuteclaireacute et informeacute Le consentement peut ecirctre deacutefini comme lrsquoexpression drsquoune
manifestation de volonteacute En droit il revecirct une fonction particuliegravere en ce qursquoune personne par
son consentement pourrait accepter une situation juridique susceptible de lui causer un
preacutejudice Notion fondamentale dans la penseacutee juridique le consentement est omnipreacutesent que
ce soit par exemple en droit peacutenal lorsqursquoil conditionne lrsquointerpreacutetation drsquoune situation
litigieuse comme licite ou illicite ou en droit des contrats dans lequel il constitue une des
conditions essentielles de validiteacute de lrsquoacte eacutetabli entre les parties101 La deacuterogation est possible
dans le cas ougrave le traitement des donneacutees est neacutecessaire102
- Au respect drsquoune obligation leacutegale agrave laquelle le responsable de traitement est soumis
- A lrsquoexeacutecution drsquoune mission drsquointeacuterecirct public ou relevant de lrsquoexercice de lrsquoautoriteacute
publique dont est investi le responsable de traitement auquel les donneacutees sont
communiqueacutees
- A lrsquoexeacutecution drsquoun contrat auquel la personne concerneacutee est partie ou lrsquoexeacutecution de
mesures preacutecontractuelles prises agrave sa demande
- A la sauvegarde de lrsquointeacuterecirct ou des droits et liberteacutes fondamentaux du client
Le consentement est aujourdrsquohui eacuterigeacute en condition de liceacuteiteacute des traitements de
donneacutees agrave caractegravere personnel dans la quasi-totaliteacute des leacutegislations de protection des
donneacutees103 Il figure parmi laquo un noyau dur raquo de principes auxquels des deacuterogations ne
sont apporteacutees qursquoagrave titre exceptionnel104 Lrsquoimportance qui srsquoattache au consentement
est agrave mettre en relation avec le rocircle de plus en plus important qui est reconnu aujourdrsquohui
agrave la personne qui doit ecirctre consideacutereacutee comme eacutetant agrave mecircme de deacutecider pour elle-mecircme
On lui reconnaicirct en ce sens un droit agrave lrsquoautodeacutetermination informationnelle En matiegravere
de consentement un des reproches adresseacutes agrave la LPDP est de ne pas expliquer davantage
ce que lrsquoon entendait par un consentement libre eacuteclaireacute et informeacute Le consentement de
la personne concerneacutee ne suffit pas il faut que le traitement des donneacutees soit loyal et
licite
100 Article 5 de la LPDP 101 Article 1108 du code civil preacuteciteacute 102 Article 23 de lrsquoacte additionnel CEDEAO preacuteciteacute 103 Ancienne directive 9546CE dans son article 2 (h) Article 1108 du Code civil belge65Art 2 h) de la Directive 9546CE66Art 7 de la Directive 9546CE 67Art 8 de la Directive 9546CE68Avis 152011 du Groupe de travail laquo Article 29 raquo sur la deacutefinition du consentement du 13 juillet 2011 p28 104 Idem
39
B Principe de loyauteacute et de liceacuteiteacute
Conformeacutement agrave lrsquoacte additionnel de la CEDEAO sur la protection des donneacutees
personnelles les donneacutees doivent ecirctre collecteacutees et traiteacutees de maniegravere loyale licite et non
frauduleuse105 La liceacuteiteacute de traitement signifie que ce dernier doit respecter toutes les regravegles
leacutegales de la protection La loyauteacute de traitement suppose que la collecte et le traitement doivent
se faire dans la transparence crsquoest agrave dire que lrsquoutilisation doit respecter la destination du
traitement qui est lrsquoexeacutecution du contrat106 En outre la personne concerneacutee doit ecirctre informeacutee
de la finaliteacute du traitement de lrsquoidentiteacute des responsables de traitement et des destinataires
eacuteventuelles des donneacutees collecteacutees Lrsquoabsence de fraude est une conseacutequence du principe de
loyauteacute et exige du responsable de traitement de deacutecliner le but reacuteel et les moyens de
traitement107 Le respect de ce principe exige eacutegalement lrsquoobservation du principe de qualiteacute
des donneacutees
C Les principes de qualiteacute des donneacutees
Les donneacutees traiteacutees doivent ecirctre adeacutequates pertinentes et non excessives au regard des
finaliteacutes des traitements108 Cela signifie que les donneacutees doivent ecirctre non seulement utiles pour
un traitement mais aussi neacutecessaire ce qui implique qursquoune donneacutee ne peut ecirctre conserveacutee et
traiteacutee que srsquoil nrsquoexiste pas un autre moyen moins dommageable pour les liberteacutes
individuelles109
Lrsquoexigence que les donneacutees ne soient pas excessives implique que les donneacutees ne
doivent pas ecirctre traiteacutees si ces derniegraveres causent une atteinte disproportionneacutee agrave la vie priveacutee
des personnes concerneacutees
De nombreux principes de qualiteacute des donneacutees doivent ecirctre respecteacutes lorsqursquoon traite de
donneacutees sur les espegraveces particuliegraverement en ce qui concerne lrsquoaspect spatial de ces donneacutees36
Ces principes doivent ecirctre appliqueacutes agrave toutes les eacutetapes du processus de gestion des donneacutees
(saisie numeacuterisation stockage analyse preacutesentation et utilisation) Il yrsquoa deux cleacutes pour
ameacuteliorer la qualiteacute des donneacutees la preacutevention et la correction
105 Article 24 Acte CEDEAO et ARTICLE 12de LPDP 106 D W KABRE Droit des technologies de lrsquoinformation et de la communication Burkina Faso op cit p 115 107 Idem 108 Article 25 Acte CEDEAO et 14 de la LPDP 109 La liberteacute individuelle doit un principe fondamental garantie par toutes les leacutegislations
40
La preacutevention des erreurs est eacutetroitement lieacutee agrave la fois agrave la collecte des donneacutees et agrave la
saisie des donneacutees dans la base La correction des erreurs joue cependant un rocircle
particuliegraverement important dans le cas des collections patrimoniales qui fournissent un grand
nombre des donneacutees primaires sur les espegraveces et des donneacutees Cependant il est important que
les personnes concerneacutees deacuteveloppent une vision et une politique de la qualiteacute de leurs
donneacutees110
La LPDP et lrsquoacte additionnel de la CEDEAO preacutevoient lrsquoexactitude des donneacutees111
Ainsi si les donneacutees sont incomplegravetes ou inexactes elles peuvent faire lrsquoobjet de correction ou
de rectification La Loi Informatique et Liberteacute et le RGPD vont au-delagrave de la rectification en
consacrant le droit agrave lrsquooubli ou droit agrave lrsquoeffacement qui permet agrave la personne concerneacutee drsquoexiger
lrsquoeffacement de ses donneacutees personnelles
Les donneacutees doivent ecirctre conserveacutees pendant une dureacutee qui nrsquoexcegravede pas la dureacutee
neacutecessaire aux finaliteacutes de traitement pour lesquelles elles sont collecteacutees ou traiteacutees 112Selon
le professeur Dominique W KABRE cette disposition semble consacrer ce que la doctrine a
qualifieacute de droit de lrsquooubli113Il est cependant possible de conserver les donneacutees au-delagrave de la
dureacutee neacutecessaire sous forme anonyme ou sous forme nominative agrave des fins historiques
statistiques ou de recherche Apregraves avoir eacutevoqueacute le principe de qualiteacute des donneacutees il nous a
fallu souligner le principe de finaliteacute de traitement des donneacutees
D Principe de finaliteacute de traitement des donneacutees
Tout comme la loi franccedilaise la loi burkinabeacute du 20 avril 2004 sur la protection des
donneacutees agrave caractegravere personnel pose le principe de la leacutegitimiteacute de la finaliteacute de tout traitement
de donneacutees agrave caractegravere personnel Selon lrsquoarticle 14 de la loi laquo les donneacutees doivent ecirctre
collecteacutees pour des finaliteacutes deacutetermineacutees explicites et leacutegitimes raquo114
110 Cette preacuterogative est reconnue aux personnes concerneacutees drsquoacceacuteder agrave leurs donneacutees puis rectifier ou les effacer 111 Article 17 de la LPDP et article 26 de lrsquoActe CEDEAO 112 Article 14 LPDP et 25 Acte Additionnel 113 Lorsque les donneacutees agrave caractegravere personnel ne sont plus neacutecessaires au regard des finaliteacutes pour lesquelles elles ont eacuteteacute collecteacutees ou traiteacutees dune autre maniegravere la personne concerneacutee a le droit dobtenir du responsable du traitement leffacement dans les meilleurs deacutelais de donneacutees agrave caractegravere personnel la concernant et le responsable du traitement a lobligation deffacer ces donneacutees agrave caractegravere personnel dans les meilleurs deacutelais ce qursquoon appelle droit agrave lrsquooubli article 17-1 du RGPD preacuteciteacute 114 De mecircme lrsquoarticle 5 al1-b du regraveglement
41
En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que celles pour lesquelles
elles ont eacuteteacute collecteacutees115
Crsquoest le principe essentiel de la protection des donneacutees Crsquoest le but dans lequel ces donneacutees
doivent ecirctre collecteacutees qui peut mettre en mal la vie priveacutee du client116 Pour fondamental qursquoil
soit le principe de finaliteacute nrsquoest toutefois pas deacutefini leacutegalement Selon I de Lamberterie laquola
finaliteacute constitue la raison drsquoecirctre drsquoun traitement particulier de donneacutees personnelles Elle est
lrsquoobjectif deacutesigneacute lors de la constitution drsquoun traitement dont elle commande la creacuteation A ce
titre elle justifie les caracteacuteristiques maicirctresses du traitement (qualiteacute des donneacutees dureacutee
) raquo117 On retrouve cette mecircme ideacutee chez Mme Claire Marliac-Neacutegrier pour qui laquola finaliteacute
drsquoun traitement se deacutefinit comme eacutetant le but envisageacute son objet Le traitement sera de la sorte
limiteacutee agrave sa finaliteacute et la collecte des informations sera elle-mecircme cantonneacutee au strict
neacutecessaire en fonction de la finaliteacute raquo118 Deacuteterminer la finaliteacute du traitement suppose expliciter
ses objectifs les raisons drsquoecirctre de sa mise en œuvre La finaliteacute doit ecirctre explicite et deacutetermineacutee
pour lrsquoexeacutecution du contrat La finaliteacute de traitement des donneacutees doit ecirctre leacutegitime crsquoest agrave dire
utile et neacutecessaire au vu de lrsquoobjet social de lrsquoentreprise et de lrsquointeacuterecirct geacuteneacuteral119 Les traitements
doivent ecirctre compatibles avec les finaliteacutes crsquoest agrave dire que les donneacutees ne peuvent ecirctre utiliseacutees
agrave des fins que celles pour lesquelles elles ont eacuteteacute collecteacutees En Europe Le traitement de
donneacutees agrave caractegravere personnel pour dautres finaliteacutes que celles pour lesquelles les donneacutees agrave
caractegravere personnel ont eacuteteacute collecteacutees initialement ne devrait ecirctre autoriseacute que sil est compatible
avec les finaliteacutes pour lesquelles les donneacutees agrave caractegravere personnel ont eacuteteacute collecteacutees
initialement120Le leacutegislateur burkinabeacute est muet dans en ce sens Dans ce cas aucune base
juridique distincte de celle qui a permis la collecte des donneacutees agrave caractegravere personnel nest
requise Outre ces principes les responsables de traitement doivent obeacuteir au principe de
confidentialiteacute et de seacutecuriteacute
115 Selon le nouveau regraveglement le traitement ulteacuterieur agrave des fins archivistiques dans linteacuterecirct public agrave des fins de recherche scientifique ou historique ou agrave des fins statistiques nest pas consideacutereacute conformeacutement agrave larticle 89 paragraphe 1 comme incompatible avec les finaliteacutes initiales 116 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 115 117 I de Lamberterie H-J Lucas (dir) Informatique liberteacutes et recherche meacutedicale opcit p 79 ndeg 199 118 C Marliac-Neacutegrier La protection des donneacutees nominatives informatiques en matiegravere de recherche meacutedicaleopcit p 10 119 D W KABRE droit des technologies de lrsquoinformation et de la communication opcit p116 120 Article preacuteciteacute nouveau RGPD
42
E Principe de la confidentialiteacute et de seacutecuriteacute
Les donneacutees personnelles doivent ecirctre traiteacutees de maniegravere confidentielle et proteacutegeacutees
contre toute destruction accidentelle perte ou toute divulgation non autoriseacutee121Le RGPD va
jusqursquoagrave proposer des pistes de mesures de seacutecuriteacute agrave prendre telles que la pseudonymisation des
donneacutees personnelles afin qursquoelles deviennent non identifiables122Ces mesures amoindrissent
les inquieacutetudes des individus concernant lrsquoexploitation des donneacutees auxquelles elles ont
consenti Malheureusement la pseudonymisation comporte des limites Sa preacutetendue vertu de
deacutesidentification des donneacutees est souvent remise en cause par de nombreuses recherches Apregraves
avoir eacutelaboreacute les diffeacuterents principes directeurs relatifs agrave la protection des donneacutees personnelles
il nous est judicieux drsquoeacutevoquer les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel Apregraves avoir eacutevoqueacute les principes
directeurs du traitement leacutegitime des donneacutees personnes il est opportun de preacuteciser les droits
des personnes concerneacutees et les obligations des responsables du traitement des donneacutees
personnelles
Paragraphe II Les droits des personnes concerneacutees et les obligations des responsables du
traitement des donneacutees agrave caractegravere personnel
Nous eacutevoquerons dans ce paragraphe les droits (A) et les obligations des personnes
concerneacutees(B)
A Les droits des personnes concerneacutees par le traitement
Pour permettre agrave la personne concerneacutee de jouer un rocircle actif dans la protection de ses
donneacutees personnelles les regravegles de la protection des donneacutees personnelles lui accordent un
certain nombre de droits
121 Article 28 Acte CEDEAO et 15 LPDP 122Lrsquoarticle 4 sect 5 du Regraveglement deacutefinit la pseudonymisation comme laquole traitement de donneacutees agrave caractegravere personnel de telle faccedilon que celles-ci ne puissent plus ecirctre attribueacutees agrave une personne concerneacutee preacutecise sans avoir recours agrave des informations suppleacutementaires pour autant que ces informations suppleacutementaires soient conserveacutees seacutepareacutement et soumises agrave des mesures techniques et organisationnelles afin de garantir que les donneacutees agrave caractegravere personnel ne sont pas attribueacutees agrave une personne physique identifieacutee ou identifiableraquo
43
1 Droit agrave lrsquoinformation
Le responsable de traitement123 de donneacutees agrave caractegravere personnel a lrsquoobligation
drsquoinformer la personne concerneacutee de son identiteacute ou celle de son repreacutesentant de la finaliteacute du
traitement des cateacutegories de donneacutees traiteacutees des destinataires des donneacutees de ses droits
drsquoaccegraves et de rectification de la dureacutee de la conservation du transfert eacuteventuel des donneacutees vers
lrsquoeacutetranger124Dans la pratique au Burkina Faso les entreprises eacutevoluant dans les technologies
ne deacuteterminent pas au preacutealable la dureacutee de la conservation des donneacutees personnelles pendant
la collecte de ces donneacutees personnelles ce qui est de nature agrave entrainer des reacuteutilisations
abusives non preacutevues dans le contrat125 Cette pratique est un manquement agrave la leacutegislation en la
matiegravere en raison de la complexiteacute et de lrsquoinsuffisance de la LPDP qui ne fixe pas un deacutelai de
prescription pour leur conservation par le responsable de traitement126
Le nouveau RGPD est plus claire En effet il dispose dans son article 14 al1d que la
personne concerneacutee peut lorsque le droit drsquoaccegraves est possible intervenir pour discuter avec le
responsable si la dureacutee de conservation des donneacutees agrave caractegravere personnel envisageacutee ou lorsque
ce nest pas possible les critegraveres utiliseacutes pour deacuteterminer cette dureacutee ce qui nrsquoest pas le cas en
droit burkinabegrave En France la loi informatique et des liberteacutes127 preacutevoit une dureacutee de
conservation deacutefinie et limiteacutee En effet la dureacutee de conservation doit ecirctre deacutefinie par le
responsable du fichier sauf si un texte impose une dureacutee preacutecise Cette dureacutee va deacutependre de la
nature des donneacutees et des objectifs poursuivis Exemples de dureacutees de conservation128
Par exemple lors drsquoun achat sur internet les coordonneacutees de la carte bancaire du client ne
peuvent ecirctre conserveacutees que le temps de reacutealisation de lrsquoopeacuteration de paiement Ainsi au terme
de la reacutealisation de cet objectif (lrsquoachat du bien dans lrsquoexemple preacuteceacutedent) les donneacutees doivent
ecirctre
Effaceacutees ou
Archiveacutees (voir ci-dessous) ougrave
Faire lrsquoobjet drsquoun processus drsquoanonymisation des donneacutees afin de rendre impossible la
laquo reacuteidentification raquo des personnes Ces donneacutees nrsquoeacutetant plus des donneacutees agrave caractegravere
personnel peuvent ainsi ecirctre conserveacutees librement et valoriseacutees notamment par la
123 Preacutedeacutefini 124 Article de la LPDP et article 12 al1 du RGPD 125 Ce que nous avons constateacute au moment de nos entretiens avec les responsables de ces entreprises 126 Le nouveau regraveglement nrsquoa pas deacutefini de deacutelai fixe agrave la conservation des donneacutees mais se reacuteserve de dire que ces donneacutees peuvent ecirctre conserveacutees autant qursquoelles sont neacutecessaires agrave la finaliteacute des traitements Il en est ainsi pour des finaliteacutes ulteacuterieures compatibles agrave la finaliteacute initiale La leacutegislation burkinabeacute manque de preacutecision 127 Loi informatique et liberteacute preacuteciteacute 128wwwcnilfr limiter la conservation des donneacutees consulteacute le laquo 02012019 agrave 12H 30 raquo
44
production de statistiques Dans le cas geacuteneacuteral la leacutegislation europeacuteenne preacutevoit que les
donneacutees personnelles ne doivent pas ecirctre conserveacutees laquo plus longtemps que neacutecessaire raquo
les modaliteacutes de cette regravegle geacuteneacuterique eacutetant preacuteciseacutees dans des cas particuliers ou
laisseacutees aux soins drsquoautres autoriteacutes de reacuteglementation (contrats reacuteglementations
sectorielles textes de loi plus speacutecifiques)En plu du doit drsquoinformation les personnes
concerneacutees beacuteneacuteficient drsquoun droit drsquoaccegraves
2 Droit drsquoaccegraves
Le droit drsquoaccegraves est preacutevu par lrsquoarticle 17 alineacutea 1 de la LPDPIl donne la possibiliteacute aux
personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit doit
ecirctre effectif en devant srsquoexercer sans deacutelai ou frais excessifs Cependant lrsquoeffectiviteacute du droit
drsquoaccegraves pourra ecirctre limiteacutee dans la mesure ougrave la loi ne preacutevoit conseacutecutivement aucun droit agrave la
communication des donneacutees En lrsquoabsence drsquoun tel droit on peut srsquointerroger sur le sens drsquoun
droit drsquoaccegraves En quoi consisterait-il Sans doute implicitement le droit drsquoaccegraves ici reconnu
srsquoentend aussi drsquoun droit drsquoobtenir une copie des donneacutees De mecircme le texte de loi ne preacutecise
que les donneacutees communiqueacutees doivent lrsquoecirctre sous une forme compreacutehensible pour les
personnes concerneacutees On pourra eacutegalement consideacuterer ici que cette exigence est implicitement
contenue dans lrsquoalineacutea 1er de lrsquoarticle 17 Cependant une preacutecision formelle nrsquoest pas inutile
Concernant les donneacutees meacutedicales le droit drsquoaccegraves srsquoexerce par lrsquointermeacutediaire drsquoun
meacutedecin deacutesigneacute par la personne concerneacutee129 On rappellera la contradiction de cette
disposition avec lrsquoarticle 11 qui preacutevoit que sont exclus du champ drsquoapplication de la loi sur le
traitement de donneacutees ayant pour finaliteacutes le suivi theacuterapeutique ou meacutedical individuel des
patients130 La leacutegislation burkinabegrave nrsquoest pas claire sur lrsquoexercice du droit drsquoaccegraves en raison du
fait qursquoelle ne preacutecise pas le but du droit drsquoaccegraves par la personne concerneacutee de faccedilon explicite
Contrairement agrave la LPDP nouveau RGPD deacutefinit lrsquoobjectif du droit drsquoaccegraves et preacutevoit des
dispositions plus protectrices des droits des personnes concerneacutees Son article 15 alineacutea 1
dispose que laquo la personne concerneacutee a le droit dobtenir du responsable du traitement la
confirmation que des donneacutees agrave caractegravere personnel la concernant sont ou ne sont pas traiteacutees
et lorsquelles le sont laccegraves auxdites donneacutees agrave caractegravere personnel ainsi que quelques
informations preacutevues aux paragraphes a agrave h En son alineacutea 2 le responsable du traitement
129 Article 17 alineacutea 2 130 La LPDP est ambigueuml dans ce cas Si la LPDP ne srsquoapplique pas aux donneacutees meacutedicales il nrsquoy a pas de raison qursquoelle deacutetermine les conditions drsquoaccegraves aux donneacutees meacutedicales
45
fournit une copie des donneacutees agrave caractegravere personnel faisant lobjet dun traitement raquo Le
leacutegislateur burkinabegrave doit revoir et eacutelargir les diffeacuterentes preacuterogatives de cette disposition qui
permet aux personnes concerneacutees drsquoexercer directement leur droit sur la protection de la vie
priveacutee raquo131 Apregraves avoir analyseacute le droit drsquoaccegraves nous allons nous inteacuteresser au droit de
rectification des personnes concerneacutees
3 Droit de rectification
Si un droit de rectification existe sa porteacutee est toutefois limiteacutee par rapport aux
dispositions de la loi franccedilaise Alors que le texte franccedilais eacutetend la rectification aux donneacutees
inexactes incomplegravetes eacutequivoques peacuterimeacutees ou le traitement est interdite lrsquoarticle 17 alineacutea 3
de la LPDP le limite aux cas ougrave les donneacutees seraient incomplegravetes ou inexactes Sans doute le
caractegravere inexact des donneacutees peut-il ecirctre largement entendu en recouvrant des hypothegraveses
comme le caractegravere eacutequivoque ou peacuterimeacute des donneacutees mais il ne semble pas devoir couvrir
lrsquohypothegravese de donneacutees dont le traitement est interdit En ce sens le droit de rectification
pourrait ecirctre compleacuteteacute
Il permet agrave la personne concerneacutee drsquoobtenir la rectification ou la correction des donneacutees
incomplegravetes ou inexactes la concernant Il srsquoexerce agrave lrsquoeacutegard du responsable du traitement qui
doit proceacuteder agrave la correction ou agrave la rectification et deacutelivrer une copie agrave la personne concerneacutee
de lrsquoenregistrement concernant la modification Si le traitement inteacuteresse la sureteacute de lrsquoEtat la
deacutefense et la seacutecuriteacute sociale la demande doit ecirctre adresseacutee agrave la Commission de Lrsquoinformatique
et des Liberteacutes chargeacute de deacutesigner un de ses membres pour le droit drsquoaccegraves et de rectification132
Les veacuterifications et corrections effectueacutees sont ensuite porteacutes agrave la connaissance du requeacuterant
Lrsquoeacutevocation du droit de rectification nous oblige agrave analyser le droit drsquoopposition des
personnes concerneacutees
4 Droit drsquoopposition
Il permet agrave la personne de srsquoopposer au traitement des donneacutees agrave caractegravere personnel en
invoquant des raisons leacutegitimes Crsquoest le cas ougrave le responsable de traitement ne respecte pas les
131 La LPDP a inteacuterecirct agrave eacutevoluer dans le sens du RGPD 132 D W KABRE Droit des technologies de lrsquoinformation et de la communicationopcit p 122
46
principes de qualiteacutes des donneacutees133Il appartient agrave la personne concerneacutee de faire la preuve des
circonstances et des motifs leacutegitimes134
Lrsquoarticle 21 du RGPD preacutevoit que la personne concerneacutee a le droit de srsquoopposer agrave tout
moment pour des raisons tenant agrave sa situation particuliegravere agrave un traitement des donneacutees agrave
caractegravere personnel la concernant y compris un profilage fondeacute sur ces dispositions
Dans le mecircme sens lrsquoarticle 38 de la LIL reacuteviseacute dispose que toute personne physique a
le droit de srsquoopposer pour des motifs leacutegitimes agrave ce que des donneacutees agrave caractegravere personnel la
concernant fassent lrsquoobjet drsquoun traitement
Il ressort de ces 3 dispositions qursquoil existe un vrai droit pour la personne concerneacutee de
srsquoopposer au traitement de ses donneacutees agrave caractegravere personnel135
Cette faculteacute qui lui est confeacutereacutee nrsquoest cependant pas sans limite le droit drsquoopposition
nrsquoeacutetant pas discreacutetionnaire Tant le RGPD LPDP que la loi informatique et liberteacutes assortissent
le droit drsquoopposition de limites
Tandis que la LIL et LPDP subordonnent le droit drsquoopposition par la personne
concerneacutee agrave lrsquoexistence de laquo motifs leacutegitimes raquo le RGPD exige que son exercice soit justifieacute par
laquo des raisons tenant agrave sa situation particuliegravere raquo
De toute eacutevidence la notion de laquo situation particuliegravere raquo est plus large que celle de laquo motifs
leacutegitimes raquo
Les conditions drsquoexercice du droit drsquoopposition poseacutees par le RGPD sont de la sorte
moins restrictives Srsquoagissant de la notion de laquo motifs leacutegitimes raquo il nrsquoest pas ininteacuteressant de
relever que dans un arrecirct du 28 septembre 2004 la Cour de cassation avait consideacutereacute qursquoen
matiegravere politique philosophique ou religieuse la condition de lrsquoexistence de motifs leacutegitimes
laquo est remplie par le seul exercice de la faculteacute pour la personne concerneacutee de srsquoopposer au
traitement de donneacutees personnelles raquo136137
Crsquoest donc une appreacuteciation extrecircmement large de la notion qui est faite par la Cour de
cassation
En vertu du caractegravere discreacutetionnaire preacutevu Lrsquoarticle 21 2 du RGPD preacutevoit que lorsque
les donneacutees agrave caractegravere personnel sont traiteacutees agrave des fins de prospection la personne concerneacutee
a le droit de srsquoopposer agrave tout moment au traitement des donneacutees agrave caractegravere personnel la
133 La qualiteacute de donneacutees renvoie agrave la conservation des donneacutees inutiles inexactes non pertinente ou adeacutequates 134 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit P123 135 Toutes ces leacutegislations protegravegent la personne concerneacutee par le biais de lrsquoexercice de son droit drsquoopposition 136(Cass Crim 28 sept 2004 ndeg 03-86604)
137 (httpsaurelienbamdecom20181223rgpd-le-droit-dopposition consulteacute le 12 feacutevrier agrave 15H 24
47
concernant agrave de telles fins de prospection y compris au profilage dans la mesure ougrave il est lieacute agrave
une telle prospection
Une fois les droits des personnes concerneacutees eacutevoqueacutes nous allons nous inteacuteresser aux
obligations des responsables du traitement
B Les obligations du responsable du traitement
La LPDP fait naitre agrave la charge des personnes responsables plusieurs obligations dont il
est judicieux drsquoeacutevoquer dans les points ulteacuterieurs
1 Lrsquoobligation drsquoinformation
Le responsable du traitement doit informer la personne concerneacutee de la finaliteacute des
destinataires des donneacutees du caractegravere obligatoire ou facultatif des reacuteponses aux questions138
Outre lrsquoobligation drsquoinformation une obligation de confidentialiteacute et de seacutecuriteacute est agrave la
charge des responsables du traitement
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees
Elle impose au responsable de traitement de prendre toutes les mesures techniques et
organisationnelles approprieacutees contre la destruction accidentelle ou illicite la perte
accidentelle lrsquoalteacuteration la diffusion ou accegraves non autoriseacutee139 Srsquoagissant des mesures
techniques il srsquoagit des mesures de seacutecuriteacute physique (protection contre la destruction
physique lrsquoincendie le gel les pannes drsquoeacutelectriciteacutehellip) et des mesures de seacutecuriteacute
logique(protection contre lrsquoaccegraves et la modification du systegraveme informatique)Ces mesures
doivent permettre de respecter les principes de traitement et de qualiteacute des donneacutees Srsquoagissant
des mesures organisationnelles celles-ci englobent toutes les mesures qui doivent tendre agrave
conscientiser le personnel au problegraveme de la seacutecuriteacute et au respect de la leacutegislation relative agrave la
protection des donneacutees personnelles Ces mesures doivent ecirctre proportionneacutees aux risques
encourus et ecirctre adeacutequates au regard de lrsquoart et de la technique140
138 Article 14 LPDP 139 Article 15 de la LPDP 140 DW KABRE Droit des technologies de lrsquoinformation et de la communication opcit p 124
48
Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et
organisationnelles telles que les politiques de seacutecuriteacute des donneacutees la charte de gestions des
risques et la matrice des risques141
Nous avons constateacute dans la socieacuteteacute MTOPO PAYMENT SOLUTIONS BF que toutes
ces mesures ont eacuteteacute mise en place dans le cadre de la protection des donneacutees personnelles les
donneacutees anonymiseacutees sur les logiciels et dans les eacutequipements informatiques
Selon MTOPO payement solutions BF142 lrsquoobjectif de la politique de la seacutecuriteacute vise agrave atteindre
la reacutealisation des 3 composants de base de la seacutecuriteacute la confidentialiteacute lrsquointeacutegriteacute et la
disponibiliteacute143 La confidentialiteacute est le caractegravere reacuteserveacute drsquoune information dont lrsquoaccegraves et la
diffusion sont limiteacutes aux seules personnes autoriseacutees agrave la connaicirctre Lrsquointeacutegriteacute est la protection
de lrsquoexactitude et de lrsquoentiegravereteacute de lrsquoinformation et des meacutethodes de traitement de celle-ci La
disponibiliteacute est lrsquoaptitude dun systegraveme agrave assurer ses fonctions sans interruption deacutelai ou
deacutegradation au moment mecircme ougrave la sollicitation en est faite
Dans la proceacutedure de matrice des risques MTOPO en tant qursquoagreacutegateur des paiements
se donne les moyens organisationnels techniques et opeacuterationnels pour non seulement
comprendre et identifier les risques mais aussi et surtout pour prendre les mesures idoines pour
mettre ceux-ci sous controcircle144
Le risque est un eacuteveacutenement dont la survenance nrsquoest pas certaine mais entraicircne pour la
personne ficheacutee un dommage145 Dans cette industrie comme dans drsquoautres eacutevoluent identifier
les risques nrsquoest donc pas un exercice statique Crsquoest plutocirct un exercice continu qui doit ecirctre
mis en œuvre meacutethodiquement et rigoureusement
Ce document deacutecrit les risques identifieacutes par la socieacuteteacute en ce deacutebut de ses activiteacutes et ceci est
une base sur les pratiques de lrsquoindustrie de paiement et les cadres de reacutefeacuterences associeacutes Il
preacutesente aussi les mesures de mitigation mises en œuvre pour cela
La charte de la gestion des risques est mise en place pour deacutefinir le but les valeurs les
objectifs le domaine drsquoaction les responsabiliteacutes lrsquoautoriteacute et le statut de la gestion des risques
Elle vise agrave offrir aux acteurs de la gestion des risques une compreacutehension claire de leurs rocircles
respectifs dans le domaine de la gestion des risques146 Cette charte fera lrsquoobjet drsquoune revue
141 Nous lrsquoavons constateacute lors de notre stage agrave MTOPO PAYMENT SOLUTIONS BF en 2018-2019 142 MTOPO PAYEMENT SOLUTIONS BF SARL agrave capital de 10000 000 fcfa 143 Cf politique de seacutecuriteacute de MTOPO 2019 p2 144Cf Proceacutedure de matrice MTOPO 2019 p3 145 Pr Yves Poulet laquo protection des donneacutees personnelles et obligation de seacutecuriteacute raquo p 19 146 Cf Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF 2019 p 3
49
annuelle par le deacutepartement de la gestion des risques et sera approuveacutee par le preacutesident du
Comiteacute des Risques
Ces mesures organisationnelles mises en place permettent une meilleure protection des
donneacutees agrave caractegravere personnel au sein de lrsquoentreprise et dans les logiciels mise agrave la disposition
agrave ses clients
Lrsquoanalyse de lrsquoobligation de confidentialiteacute et de seacutecuriteacute nous oblige agrave eacutevoquer celle
de notification
3 Lrsquoobligation de notification
Cette obligation exige tout responsable de traitement de faire une deacuteclaration de tels
traitements des donneacutees aupregraves de la Commission Informatique et des Liberteacutes147 Cette
deacuteclaration doit indiquer un certain nombre drsquoinformations telles que lrsquoindication148
a) la personne qui preacutesente la demande et celle qui a le pouvoir de deacutecider de la creacuteation
du traitement de donneacutees149 ou si elle reacuteside agrave lrsquoeacutetranger son repreacutesentant au Burkina
Faso
b) les caracteacuteristiques la finaliteacute et srsquoil y a lieu la deacutenomination du traitement de donneacutees
c) le service ou les services chargeacutes de mettre en œuvre celui-ci
d) le service aupregraves duquel srsquoexerce le droit drsquoaccegraves ainsi que les mesures prises pour
faciliter lrsquoexercice de ce droit
e) les cateacutegories de personnes qui agrave raison de leurs fonctions ou pour les besoins du
service ont directement accegraves aux informations enregistreacutees
Lorsque les traitements automatiseacutes de donneacutees agrave caractegravere personnel sont opeacutereacutes pour
le compte de lrsquoEtat drsquoun Etablissement public drsquoune collectiviteacute territoriale ou drsquoune personne
de droit priveacute geacuterant un service public il doit ecirctre deacutecideacute par deacutecret pris apregraves avis de la CIL150
Cette obligation doit ecirctre exeacutecuteacutee par le responsable de traitement avant la mise en
œuvre de traitement des donneacutees personnelles au Burkina Crsquoest une formaliteacute preacutealable au
147 Article 19 de LPDP 148 Article 42 de la LPDP et lrsquoarticle 6 de lrsquoacte additionnel CEDEAO 149 Cet alineacutea de lrsquoarticle deacutefini mal le responsable de traitement des donneacutees personnelles Celui-ci ne creacutee pas des donneacutees il traite des donneacutees 150 Article 18 alineacutea 1 de LPDP
50
traitement des donneacutees personnelles Au Burkina Faso cette proceacutedure est battue en bregraveche en
raison du fait que bon nombre drsquoentreprises ne la respectent qursquoapregraves le controcircle et la
recommandation faits par lrsquoautoriteacute de controcircle (CIL)151 En 2010 la CIL a proceacutedeacute agrave sa
premiegravere veacuterification sur place conformeacutement agrave lrsquoarticle 37 de la LPDP aupregraves de plusieurs
secteurs tels que le secteur drsquoidentification Nationale (Office Nationale drsquoIdentification) le
secteur politique (Commission Electorale Nationale Indeacutependante) le secteur de teacuteleacutephonie
(Office Nationale de Teacuteleacutecommunication TELECEL ORANGE (ZEN agrave lrsquoeacutepoque)) et le
secteur cyber cafeacute et autres centres communication internet au Burkina Faso152 Au terme de
ces missions la CIL a constateacute que ces secteurs nrsquoont pas accompli leur obligation de
deacuteclaration agrave la CIL qursquoen plus le droit au respect de la seacutecuriteacute des donneacutees nrsquoest pas respecteacute
par ces secteurs drsquoactiviteacutes153 Elle a ainsi formuleacute des recommandations portant sur lrsquoobligation
de deacuteclaration des traitements des donneacutees agrave caractegravere personnel agrave la CIL de seacutecuriteacute dans le
processus de traitement le respect de principe de consentement preacutealable et de finaliteacute des
traitements le principe de conservation limiteacute des donneacutees personnelles le principe de
confidentialiteacute de seacutecuriteacute des donneacutees personnelles deacutefinitions des chartes de bonne
utilisation des ordinateurs et de maniegravere geacuteneacuterale le respect des droits des personnes concerneacutees
par le traitement154 Ces responsables de traitement des donneacutees devraient se conformer agrave la
LPDP degraves son adoption en 2004 Cette violation tire sa source des faiblesses et des insuffisances
de la CIL depuis sa creacuteation par le deacutecret155
En Europe le reacutegime de deacuteclaration agrave la CNIL est aboli par le nouveau regraveglement et est
remplaceacute par la deacuteclaration au registre interne Chaque responsable du traitement et le cas
eacutecheacuteant le repreacutesentant du responsable du traitement tient un registre des activiteacutes de traitement
effectueacute sous leur responsabiliteacute156 Ce registre comporte toutes les informations relatives aux
donneacutees traiteacutees leurs destinataireshellip (Art 30 du regraveglement) Ce meacutecanisme serait beacuteneacutefique
au Burkina Faso puisqursquoil permet agrave la CIL de proceacuteder au controcircle reacuteguliegraverement afin de veacuterifier
la conformiteacute des traitements agrave la loi Dans la pratique la CIL apregraves la deacuteclaration et son
controcircle agrave posteriori immeacutediat agrave la deacuteclaration nrsquoeffectue aucun effort elle se borne agrave attendre
des plaintes aupregraves des personnes concerneacutees avant de reacuteagir agrave lors que ce dernier ignore
souvent leurs droits Ce qui est encore un obstacle agrave lrsquoeacutevolution de la jurisprudence en matiegravere
de traitement des donneacutees personnelles au Burkina Faso contrairement aux pays occidentaux
151 Rapport public CIL 2010 152 Rapport public CIL 2010 P 12 153 Idem p 13 14 15 et 16 154 Idem 155 Degraves sa creacuteation en 2004 crsquoest agrave partir de 2008 que la CIL a eacuteteacute reacuteellement institueacute 156 Ce meacutecanisme devrait ecirctre une leccedilon pour le Burkina dans la modification de la LPDP
51
Lrsquoanalyse de lrsquoobligation de notification nous amegravene agrave nous inteacuteresser celle de demander
une autorisation de traitement
4 Lrsquoobligation de demander une autorisation de traitement
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de
controcircle avant le traitement157 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
En Europe le nouveau regraveglement preacutevoit un allegravegement des obligations en matiegravere de
formaliteacutes preacutealables La logique de formaliteacutes preacutealables laisse la place agrave celle de
responsabilisation des acteurs Cet allegravegement a eu un impact pour le secteur de santeacute158 Pour
les traitements suivants comportant des donneacutees de santeacute les formaliteacutes agrave accomplir aupregraves de
la CNIL disparaissent agrave certaines conditions
Les traitements pour lesquels la personne concerneacutee a donneacute son consentement expregraves
Les traitements neacutecessaires agrave la sauvegarde de la vie humaine
Les traitements portant sur des donneacutees agrave caractegravere personnel rendues publiques par la
personne concerneacutee
Les traitements neacutecessaires aux fins de la meacutedecine preacuteventive des diagnostics
meacutedicaux de lrsquoadministration de soins ou de traitements ou de la gestion de services
de santeacute et mis en œuvre par un membre drsquoune profession de santeacute ou par une autre
personne agrave laquelle srsquoimpose en raison de ses fonctions lrsquoobligation de secret
professionnel (ex dossier meacutedical ou logiciel de gestion meacutedico-administratif
teacuteleacutemeacutedecine PACS utiliseacute dans le domaine de lrsquoimagerie meacutedicale etc)
Les traitements permettant drsquoeffectuer des recherches agrave partir des donneacutees reacutealiseacutees par
le personnel assurant ce suivi et destineacutees agrave leur usage exclusif (recherche laquo interne raquo)
157 Article 12 de lrsquoActe Additionnel CEDEAO 158 httpswwwcnilfrfrquelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulteacute le laquo 23 02 2019 agrave 14h raquo
52
Les traitements mis en œuvre aux fins drsquoassurer le service des prestations ou le controcircle
par les organismes chargeacutes de la gestion drsquoun reacutegime de base drsquoassurance maladie ainsi
que la prise en charge des prestations par les organismes drsquoassurance maladie
compleacutementaire
Les traitements effectueacutes au sein des eacutetablissements de santeacute par les meacutedecins
responsables de lrsquoinformation meacutedicale dans le cadre du PMSI local
Les traitements effectueacutes par les agences reacutegionales de santeacute par lrsquoEacutetat et par la
personne publique qursquoil deacutesigne en application du premier alineacutea de lrsquoarticle L 6113-8
du code de la santeacute publique et dans le cadre deacutefini au mecircme article
Les traitements de donneacutees dans le domaine de la santeacute mis en œuvre par les organismes
ou les services chargeacutes drsquoune mission de service public figurant sur une liste fixeacutee par
arrecircteacute des ministres chargeacutes de la santeacute et de la seacutecuriteacute sociale pris apregraves avis de la
CNIL ayant pour seule finaliteacute de reacutepondre en cas de situation drsquourgence agrave une alerte
sanitaire et drsquoen geacuterer les suites
Outres ces obligations les responsables du traitement doit obeacuteir aux obligations
de pereniteacute
5 Lrsquoobligation de peacuterenniteacute
Cette obligation impose aux responsables du traitement de veiller agrave ce que les donneacutees
personnelles traiteacutees soient exploitables quel que soit le support utiliseacute159 Pour ce faire il doit
assurer lrsquoeacutevolution de la technologie160
Apregraves avoir eacutelaboreacute les diffeacuterents droits des personnes concerneacutees et les obligations des
responsables du traitement il nous est opportun drsquoeacutevoquer le controcircle des traitements exerceacute
par la commission
Section II Le controcircle des traitements des donneacutees
Le controcircle des traitements des donneacutees est assureacute par une autoriteacute de controcircle ou de
protection deacutenommeacutee Commission Informatique et des Liberteacutes selon lrsquoActe Additionnel de la
CEDEAO portant protection des donneacutees agrave caractegravere personnel
La commission est chargeacutee de veiller au respect des dispositions de la loi notamment
en informant toute personne concerneacutee de leurs droits et obligations et en controcirclant les
159 Article 45 de lrsquoActe Additionnel CEDEAO 160 D W KABRE Droit des technologies de lrsquoinformation et de la communication op cit p125
53
applications de lrsquoinformatique aux traitements des donneacutees drsquoutilisateurs agrave caractegravere
personnel161
La CIL a pour attribution de veiller agrave ce que le traitement automatiseacute ou non public ou
priveacute drsquoinformation nominative soient effectueacutees conformeacutement agrave la disposition leacutegale Elle
dispose drsquoun pouvoir de sanction162
Nous eacutevoquerons dans le paragraphe I le controcircle agrave priori de la mise en œuvre des
traitements et dans le paragraphe II le controcircle agrave posteriori de la mise en œuvre des traitements
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des donneacutees agrave
caractegravere personnel
Fondamentalement la collecte des donneacutees est lrsquoeacutetape preacutealable indispensable agrave la mise
en œuvre de tout traitement de donneacutees agrave caractegravere personnel Crsquoest agrave travers cette eacutetape que le
responsable du traitement accegravede aux donneacutees neacutecessaires au traitement
Cette phase du traitement des donneacutees doit faire lrsquoobjet de toutes les attentions Ces
attentions vont drsquoailleurs dans un double sens Il srsquoagit drsquoune part de garantir la qualiteacute
scientifique des traitements au titre desquelles les donneacutees concernant les personnes ont
vocation agrave ecirctre collecteacutees et traiteacutees et drsquoautre part de respecter des conditions juridiques
exigeacutees pour acceacuteder aux donneacutees Toutes les informations personnelles nrsquoeacutetant pas librement
accessibles il convient drsquoen respecter les conditions juridiques de disponibiliteacute
Le controcircle agrave priori srsquoexerce par lrsquoaccomplissement des formaliteacutes preacutealables
(deacuteclarations autorisations et avis) agrave la mise en œuvre des traitements qursquoil convient agrave eacutevoquer
A Les deacuteclarations agrave la CIL
Conformeacutement agrave la LPDP toute personne physique ou morale deacutecidant de la collecte
des donneacutees personnelles a lrsquoobligation de faire la deacuteclaration des traitements agrave la CIL avant la
mise en œuvre des traitements Cette demande est fondeacutee sur les articles 19 et suivants de la loi
sur la protection des donneacutees personnelles En effet cet article fait obligation aux responsables
de traitement de proceacuteder agrave une deacuteclaration preacutealable de traitement de donneacutees agrave caractegravere
personnel aupregraves de lautoriteacute de protection des donneacutees agrave caractegravere personnel A linstar du
Burkina Faso le Gabon le Seacuteneacutegal respectivement aux articles 51 et suivants de la loi ndeg 001-
161 Article 37 LPDP 162 CIL rapport public 2012
54
2011 du 25 septembre 2011 aux articles 18 et suivants de la loi ndeg 2008-12 du 15 janvier 2008
relative agrave la protection des donneacutees agrave caractegravere personnel et aux article 5 et suivant de la loi
ivoirienne portant protection des donneacutees agrave caractegravere personnel ont adopteacute les mecircmes
dispositions
La deacuteclaration consiste agrave renseigner une fiche de deacuteclaration teacuteleacutechargeable sur le site
de la commission et la deacuteposer aupregraves des services de la commission contre reacuteceacutepisseacute La
deacuteclaration est une formaliteacute plus simple agrave accomplir contrairement agrave la rigueur de la demande
drsquoavis et devrait inciter les responsables agrave la respecter avec ceacuteleacuteriteacute En somme la formaliteacute
preacutealable vise agrave permettre agrave lrsquoautoriteacute compeacutetente de connaitre lrsquoidentiteacute du responsable du
traitement et du type de traitement envisageacute en vue de srsquoassurer du respect de la leacutegislation en
matiegravere de protection des donneacutees agrave caractegravere personnel agrave lrsquoeacutegard des citoyens Crsquoest pendant
cette phase que la CIL autorise et limite les finaliteacutes des traitements La conseacutequence directe de
la limitation a priori de la finaliteacute du traitement est lrsquointerdiction drsquoutiliser les donneacutees suivant
une finaliteacute ulteacuterieure qui serait incompatible avec la finaliteacute initiale
En Europe avec lrsquoavegravenement du nouveau RGPD cette formaliteacute preacutealable est battue en
bregraveche En effet elle est remplaceacutee par la deacuteclaration au registre interne Chaque responsable
du traitement et le cas eacutecheacuteant le repreacutesentant du responsable du traitement tiennent un registre
des activiteacutes de traitement effectueacutees sous leur responsabiliteacute
Apres lrsquoanalyse des deacuteclarations agrave la Commission nous nous inteacuteresserons aux
demandes drsquoavis et drsquoautorisation
B Les demandes drsquoavis et drsquoautorisation
La demande drsquoavis est requise pour le compte de lrsquoEtat ou de ses deacutemembrements ou
drsquoune personne morale du droit priveacute exerccedilant des services publics aux termes de lrsquoarticle 18
de la loi preacuteciteacutee Il ressort que tout traitement effectueacute dans le cadre de la mission de service
public au compte de service public qursquoil soit lrsquoœuvre de lrsquoadministration publique ou drsquoun priveacute
est soumis agrave lrsquoautorisation de lrsquoautoriteacute compeacutetente La commission rend un avis motiveacute Si
lrsquoavis est favorable le traitement est alors autoriseacute par un acte regraveglementaire avant sa mise en
œuvre A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat A contrario si lrsquoavis est deacutefavorable le requeacuterant peut introduire un recours au Conseil
drsquoEtat
55
Certains types de donneacutees impliquent qursquoune autorisation soit donneacutee par lrsquoautoriteacute de controcircle
avant le traitement163 il srsquoagit
- des donneacutees geacuteneacutetiques et sur la recherche dans le domaine de la santeacute
- les donneacutees relatives aux infractions condamnation ou mesure de sureteacute
- des donneacutees qui font lrsquoobjet drsquoune interconnexion
- les donneacutees constitueacutees par le numeacutero national drsquoidentification ou tout autre identifiant
de mecircme nature
- les donneacutees biomeacutetriques et les donneacutees ayant un motif drsquointeacuterecirct public notamment agrave
des fins historiques ou scientifiques
Beaucoup drsquoentreprises nationales refusent drsquoaccomplir les formaliteacutes preacutealables agrave la
mise en œuvre des traitements des donneacutees164 Cela srsquoexplique par le fait que la CIL nrsquoeffectue
bien pas ses missions de controcircle et les sanctions sont moins seacutevegraveres165 Cela srsquoexplique par le
fait que la CIL nrsquoeffectue bien pas ses missions de controcircle et les sanctions sont moins
seacutevegraveres166
Apregraves avoir eacutevoqueacute le controcircle agrave priori de la mise en œuvre des traitements il judicieux
drsquoanalyser le controcircle agrave posteriori de la mise en œuvre des traitements
163 Art 37 de la LPDP 164 Certains eacutetablissements bancaires au Burkina Faso refusaient drsquoaccomplir les formaliteacutes preacutealables au traitement des donneacutees personnelles Crsquoest quand les banques europeacuteennes ont exigeacute leur deacuteclaration agrave la CIL comme conditions drsquoexeacutecution de leurs coopeacuterations que les banques Burkinabegraves ont commenceacute agrave effectuer les deacuteclarations 165 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction 166 La CIL devait emboiter les pas du nouveau RGPD en matiegravere de sanction
56
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements
Il faut drsquoailleurs rappeler qursquoun traitement de donneacutees agrave caractegravere personnel est un
ensemble drsquoopeacuterations dont chacune est elle-mecircme susceptible drsquoecirctre qualifieacutee de traitement
Par exploitation ou mise en œuvre du traitement nous entendons lrsquoeacutetape posteacuterieure agrave
lrsquoaccomplissement des formaliteacutes preacutealables et agrave la collecte des donneacutees Il srsquoagit de la phase
de traitement des donneacutees en vue de la finaliteacute pour laquelle les donneacutees ont eacuteteacute collecteacutees crsquoest-
agrave-dire en lrsquoespegravece la conduite des traitements en vue de laquelle les donneacutees ont eacuteteacute collecteacutees
Cette phase se distingue manifestement de la collecte des donneacutees
En effet des pouvoirs drsquoaction sont reconnus notamment aux personnes concerneacutees et
aux autoriteacutes de controcircle pour veacuterifier la conformiteacute de la mise en œuvre du traitement avec la
ou les finaliteacute(s) initialement deacuteclareacutee(s) le respect des droits des personnes la seacutecuriteacute du
traitement lrsquoutilisation des reacutesultats obtenus
Veacuterifications sur place par la Commission
La CIL dispose drsquoun pouvoir de controcircle sur place au sein des organismes publics ou
priveacutes et peut se faire communiquer tout renseignement ou document utile agrave sa mission en vue
drsquoassurer la conformiteacute des traitements des donneacutees agrave caractegravere personnel agrave la loi
Crsquoest pendant cette phase que la CIL veacuterifie la conformiteacute des deacuteclarations avec les finaliteacutes des
traitements ainsi que les destinataires des traitements ou veacuterifie la compactibiliteacute des
reacuteutilisations avec les finaliteacutes initiales Si elle constate que les traitements ne sont pas
conformes agrave la deacuteclaration elle peut prononcer des sanctions administratives (mise en demeure
interruption du traitement verrouillage de certaines donneacutees personnelles traiteacutees interruption
temporaire ou deacutefinitive de la mise en œuvre drsquoun traitement etc)167
Elle peut saisir la justice pour les infractions graves dont elle a connaissance168
Le 28 mai 2012 la CIL a proceacutedeacute agrave des veacuterifications sur place dans le secteur industriel
au siegravege de lrsquoentreprise FTF agrave Ouagadougou pour effectuer une veacuterification sur un dispositif de
videacuteosurveillance traitement de donneacutees agrave caractegravere personnel autoriseacute par les membres de la
commission numeacutero 00033 du 18 mars 2011Cette mission srsquoinscrivant dans le cadre de
pouvoir de controcircle a posteriori reconnu agrave la CIL avait pour objectif speacutecifique de constater
lrsquoeacutetat de mise en œuvre et le fonctionnement du dispositif de videacuteosurveillance au regard des
167CIL Rapport public 2012 P5 168 CIL Conseil pratique pour une meilleure protection des donneacutees personnelles 2018 p 5
57
principes et obligations que posent la loi ndeg010-2004AN des recommandations de la
Commission lors de sa deacutelibeacuteration
Au cours de la mission lrsquoeacutequipe de la CIL a pu constater que le dispositif de
videacuteosurveillance nrsquoeacutetant pas opeacuterationnel A lrsquoissu de la mission lrsquoeacutequipe a produit un rapport
dans lequel la CIL agrave reformuler agrave lrsquoattention de lrsquoentreprise de respecter les finaliteacutes des
traitement et lrsquointimiteacute de la vie priveacutee des salarieacutes la reprise de lrsquoopeacuterationnaliteacute du dispositif
de videacuteosurveillance et informer les usagers de lrsquoentreprise de la preacutesence des cameacuteras de
surveillance agrave lrsquoaide drsquoaffiches169
Dans le secteur de la teacuteleacutephonie la CIL srsquoest rendue le 27 septembre 2012 au siegravege
de AIRTEL BURKINA pour une mission de veacuterification Cette mission avait pour objectif
drsquoeacutechanger sur lrsquoeacutetat et lrsquoeacutevolution des traitements de donneacutees personnelles de lrsquoentreprise les
mesures de seacutecuriteacutes et de confidentialiteacute et la localisation des bases de donneacutees170Cette
veacuterification a permis au technicien de la CIL de se rendre compte que lrsquoopeacuterateur effectue
drsquoimportant traitement des donneacutees agrave caractegravere personnel agrave travers ses nombreuses bases de
donneacutees A lrsquoissu de cette mission la CIL a dans son rapport de mission de veacuterification
rappeler lrsquoopeacuterateur de teacuteleacutephonie ses obligations en matiegravere de traitement de donneacutees agrave
caractegravere personnel
En bref nous pouvons retenir dans cette partie nonobstant le cadre theacuteorique de lrsquoeacutetude
que la protection des donneacutees drsquoutilisateurs agrave caractegravere personnel tire sa source au niveau
international et national notamment le droit europeacuteen et le droit africain et particuliegraverement la
LPDPAinsi plusieurs principes ont eacuteteacute eacutelaboreacutes et le plus innovant est lrsquoannulation de
lrsquoautorisation et la deacuteclaration des traitements agrave CIL conforment au RGPDDans cette analyse
nous proposons agrave la LPDP drsquoeacutevoluer dans ce sens en raison du fait que cette proceacutedure protegravege
mieux les personnes concerneacutees et eacutelargit le pouvoir drsquoaction de la Commission
Apregraves avoir eacutetudier le cadre theacuteorique meacutethodologique et conditions drsquoutilisations des
donneacutees agrave caractegravere personnel au Burkina Faso il nous judicieux drsquoeacutevoquer la partie suivante
portant protection des donneacutees personnelles sur les programmes drsquoordinateurs au Burkina Faso
169 CIL Rapport public 2012 p12 170 Idem p15
58
Dans cette seconde partie nous preacutesenterons les reacutesultats de nos enquecirctes de terrain
les analyses et les interpreacutetations qui en deacutecoulent Le tout aboutira agrave la veacuterification de nos
hypothegravese chapitre (1) Puis nous ferons des propositions en vue drsquoune ameacutelioration de la
situation des usagers des compagnies de transport (chapitre 2)
DEUXIEME PARTIE PROTECTION DES
DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU
BURKINA FASO
59
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES
Ce chapitre sera consacreacute agrave la preacutesentation et agrave lrsquointerpreacutetation des reacutesultats de nos enquecirctes de
terrain (Section I) drsquoune part et agrave la veacuterification de nos hypothegraveses drsquoautre part (Section II)
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte
La preacutesentation et lrsquointerpreacutetation des reacutesultats se feront agrave lrsquoaide de deux (2)
paragraphes Nous aurons une situation globale du recouvrement des questionnaires et des
entretiens reacutealiseacutes (Paragraphe I) et une preacutesentation deacutetailleacutee des questionnaires recouvreacutes et
entretiens reacutealiseacutes (Paragraphe II)
Paragraphe I La situation du recouvrement des questionnaires et des entretiens reacutealiseacutes
Nous preacutesenterons drsquoabord lrsquoeacutetat du recouvrement des questionnaires (A) puis des
diffeacuterents entretiens reacutealiseacutes au cours de lrsquoenquecircte (B)
A La situation des questionnaires recouvreacutes
Les questionnaires ont eacuteteacute effectivement adresseacutes aux usagers et aux dirigeants des
compagnies de transport TSR et RAHIMO TRANSPORT aux responsables administratives de
la CIL et au Directeur Geacuteneacuteral de MTOPO En effet nous estimons que ces derniers sont mieux
indiqueacutes pour nous fournir des reacuteponses objectives aux questions qui leur ont eacuteteacute poseacutees Ainsi
pourront-ils nous renseigner sur les difficulteacutes qui sont rencontreacutees par les voyageurs dans le
cadre de la protection de leurs donneacutees personnelles Ainsi tous les responsables administratifs
de la CIL ont effectivement renseigneacute les questionnaires qui leur ont eacuteteacute effectivement adresseacutes
Donc tous les trois (03) responsables nrsquoont pas pu nous retourner nos questionnaires parce
qursquoils nrsquoavaient pas le temps Au niveau des usagers de RAHIMO TRANSPORT nous
enregistrons 98 de taux de recouvrement soit 198 questionnaires renseigneacutes Apregraves deacuteduction
2 des voyageurs nrsquoont pas pu reacutepondre agrave nos questions soit deux (02) questionnaires non
retourneacutes Enfin pour ce qui concerne les usagers de TSR 783 personnes ont reacutepondu agrave nos
questionnaires soit un taux de 9787 Le tableau ci-dessous fait le reacutecapitulatif de la situation
60
Tableau I situation de recouvrement des questionnaires
Population cible Echantillon Nombre de reacutepondants Taux ()
Responsable de la CIL 03 00 00
Voyageurs du RAHIMO 200 198 98
Voyageurs du TSR 800 783 9788
Total 1003 981 978
Source reacutesultats de nos enquecirctes Feacutevrier -mars 2019
Apregraves la preacutesentation de la situation des questionnaires recouvreacutes nous allons nous
inteacuteresser agrave celle des entretiens reacutealiseacutes
B La situation des entretiens reacutealiseacutes
Nos guides drsquoentretien devaient ecirctre adresseacutes aux Dirigeant de RAHIMO
TRANSPORT de TSR et de Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF
nous avons un taux de reacutealisation de 33 33 soit 2 entretiens reacutealiseacutes au sein de RAHIMO
TRANSPORT Concernant MTOPO seul lrsquoentretien du Directeur Geacuteneacuteral a pu se reacutealiser Le
tableau ci-dessous reacutesume la situation des entretiens
Tableau II situation des entretiens reacutealiseacutes
Personnes concerneacutees Entretiens
preacutevus
Entretiens
reacutealiseacutes
Taux ()
Les Dirigeants de RAHIMO 03 01 3333
Les dirigeants du TSR 03 01 3333
Directeur Geacuteneacuteral de MTOPO 01 01 100
Total 07 03 4286
Source Reacutesultat de nos enquecirctes feacutevrier-mars
Les deux (02) tableaux font le reacutecapitulatif des questionnaires et guides drsquoentretien qui
devaient ecirctre administreacutes agrave notre public cible Ils (les tableaux) font eacutegalement la situation des
outils qui ont eacuteteacute effectivement administreacutes Nous allons passer agrave la preacutesentation deacutetailleacutee de
ces donneacutees
61
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte
Dans ce paragraphe seront preacutesenteacutees plusieurs donneacutees issues de nos enquecirctes de
terrain Il srsquoagit de voir si les entreprises exploitant le logiciel CONEKTO TRANSPORT
protegravegent efficacement les donneacutees personnelles des voyageurs(A) Nous preacutesenterons
eacutegalement les relations qui existent entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees(B) Enfin nous verrons si les voyageurs sont
informeacutes de leurs droits sur la protection des donneacutees agrave caractegravere personnel(C)
A La preacutesentation de la protection ineffective des donneacutees personnelles des utilisateurs
par les intervenants du logiciel CONEKTO TRANSPORT
A lrsquointention des voyageurs des compagnies de transport un questionnaire subdiviseacute en
plusieurs parties leur a eacuteteacute adresseacute Sur un total de 983 voyageurs interrogeacutes 5219 estiment
qursquoil yrsquoa absence drsquoinformation des traitements des donneacutees personnelles 3092 ne
connaissent pas le niveau de protection des donneacutees personnelles par les responsables des
traitements Pendant ce temps 1689 nrsquoont pas une ideacutee sur la protection des donneacutees
personnelles
Tableau III Protection ineffective des donneacutees personnelles des utilisateurs par les
intervenants du logiciel CONEKTO TRANSPORT
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Non connaissance du niveau de
protection des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation des finaliteacutes des
traitements de leurs donneacutees
personnelles
410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
Total 711 272 983 100
Source reacutesultat de nos enquecirctes Feacutevrier-mars 2019
62
A la question de savoir si les deacuteclarations des traitements ont eacuteteacute effectueacutees agrave la CIL les
dirigeants des compagnies de transport reacutepondent laquo Non raquo Ces derniers ignorent lrsquoexistence
drsquoune leacutegislation en matiegravere de protection des donneacutees personnelles et une commission chargeacutee
de la protection des donneacutees personnelles au Burkina Faso
Quant au Directeur Geacuteneacuteral de MTOPO PAYMENT SOLUTIONS BF les compagnies
de transport sont exclusivement responsables des traitements des donneacutees personnelles et de ce
fait crsquoest agrave ces derniegraveres drsquoaccomplir la formaliteacute de deacuteclaration agrave la CIL et de mettre en œuvre
des mesures techniques et organisationnelles dans le cadre de la protection des donneacutees
drsquoutilisateurs agrave caractegravere personnel
Apregraves la preacutesentation des reacutesultats sur la protection ineffective des donneacutees personnelles
par les responsables des traitements il faut agrave preacutesent srsquointeacuteresser agrave la relation existante entre les
intervenants dans la protection des donneacutees personnelles des voyageurs
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles
De faccedilon concregravete cette question a eacuteteacute poseacutee aux dirigeants des compagnies de transport
de maniegravere suivante Existe-il une relation entre les diffeacuterents acteurs dans le but drsquoassurer une
meilleure protection des donneacutees collecteacutees Ils doivent reacutepondre par oui ou non et justifier
Les dirigeants des compagnies de transport lors de lrsquoentretien nous reacutepondent laquo Non raquo
Comme justification ils disent que chacun agrave sa politique de gestion des donneacutees personnelles
qursquoils ont eacutelaboreacute des identifiants empecircchant toute personne non autoriseacutee drsquoacceacuteder aux
donneacutees
La mecircme question a eacuteteacute poseacutee au Directeur Geacuteneacuteral de MTOPO il reacutepond laquo il nrsquoexiste
pratiquement pas une politique collective en matiegravere de protection des donneacutees personnelles
des voyageurs Chaque entreprise a sa politique de protection Nous deacuteclinons notre
responsabiliteacute agrave lrsquoeacutegard des traitements effectueacutes par les compagnies de transport nous
nrsquoavons pas accegraves aux donneacutees des voyageurs sans le consentement des compagnies de
transport et par conseacutequent MTOPO est une entreprise de lrsquoinformation donc un heacutebergeur
des donneacutees comme Amazon Pour une meilleure protection des donneacutees personnelles nous
avons mis en place une politique de seacutecuriteacute la charte des risques et la matrice des risques
Nous devenons responsables des traitements en cas de reacuteservation en ligne des billets de
transport agrave travers lrsquoapplication mobile NTERI donc nous somme dans lrsquoobligation de deacuteclarer
ces traitements puisque lrsquohistorique des traitements seront stockeacutees dans notre base de donneacutees
pendant plusieurs anneacutees raquo
63
Cette deacuteclination de la responsabiliteacute de MTOPO PAYMENT SOLUTIONS BF agrave la
charge de leurs clients en matiegravere de la deacuteclaration des traitements des donneacutees est contraire agrave
toutes les regravegles en matiegravere de protection des donneacutees agrave caractegravere personnel En effet
conformeacutement agrave toutes ces leacutegislations les eacutediteurs drsquoun site internet ou drsquoun logiciel qui
collectent les donneacutees personnelles sont dans lrsquoobligation soit drsquoeffectuer une simple
deacuteclaration agrave la CIL soit demander son autorisation en cas drsquoexploitation de certaines donneacutees
jugeacutees sensibles
Apregraves avoir eacutevoqueacute les relations existant entre les diffeacuterents acteurs nous verrons
comment les donneacutees personnelles sont reacuteutiliseacutees sans le consentement des personnes
concerneacutees
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs
A lrsquointention des dirigeants du TSR et RAHIMO TRANSPORT agrave la question de savoir
si les compagnies utilisent les donneacutees personnelles des voyageurs agrave drsquoautres finaliteacutes autres
que celles pour lesquelles elles ont eacuteteacute collecteacutees Ceux-ci reacutepondent par laquo oui raquo
Selon le Directeur des Affaires Financiegraveres de RAHIMO TRANSPORT les donneacutees
personnelles de ses clients sont reacuteutiliseacutees pour deacuteterminer les meilleurs clients les clients les
plus fidegraveles et utiliser agrave des fins de marketings et agrave alimenter leurs bases de donneacutees qui
pourraient ecirctre utiliseacutees agrave des finaliteacutes non preacutevues
Selon le comptable de TSR les traitements des donneacutees personnelles de leurs clients agrave
pour finaliteacutes initiales la vente des tickets reacuteservation des tickets en ligne gestion des bagages
et colis mais elles pourront ecirctre utiliseacutees agrave drsquoautres finaliteacutes telles que les domaines de
recherches scientifiques agrave des fins marketings et de publiciteacute
A la question de savoir srsquoils ont reccedilu le consentement de leur client avant la reacuteutilisation
de leurs donneacutees ceux-ci reacutepondent laquo Non raquo Comme justification ils disent qursquoils ne savaient
pas qursquoils eacutetaient dans lrsquoobligation de requeacuterir le consentement de leurs clients pour exeacutecuter
telles finaliteacutes
Apregraves la preacutesentation des reacutesultats relatifs agrave la reacuteutilisation des donneacutees personnelles
nous eacutevoquerons celle de lrsquoabsence de drsquoinformation des voyageurs de leurs droits
64
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles
A lrsquointention des dirigeants des compagnies de transport avez-vous informeacute les
voyageurs de leurs droits sur la protection des donneacutees personnelles ceux-ci reacutepondent par
laquo non raquo
Selon le DAF du RAHIMO TRANSPORT nous ne connaissons mecircme pas les droits
des voyageurs comment pourrons-nous les informer sur quelque chose que nous ne
connaissons pas Quant au directeur comptable du TSR nous ne savons pas que les donneacutees
personnelles font lrsquoobjet de protection donc nous ignorons lrsquoexistence de tels droits agrave lrsquoeacutegard
des personnes concerneacutees
Cette mecircme question a eacuteteacute soumise agrave quelques voyageurs du TSR et de RAHIMO
TRANSPORT Sur le total de 983 voyageurs tous les voyageurs disent qursquoils ne sont pas
informeacutes de leurs droits sur la protection des donneacutees personnelles par les responsables de
traitement de leurs donneacutees nominatives
Tableau IV Absence drsquoinformation des voyageurs de leurs droits sur la protection des
donneacutees personnelles
Question Reacuteponse Nombre de voyageurs Taux ()
Etes- vous informeacutes de vos droits sur la
protection des donneacutees personnelles
Non 983 100
TOTAL 983 100
Source reacutesultat de nos enquecirctes feacutevrier -mars
La preacutesentation et lrsquointerpreacutetation des reacutesultats de lrsquoenquecircte nous amegravenent agrave la section
consacreacutee agrave la veacuterification de nos hypothegraveses
65
Section II La veacuterification des hypothegraveses
Dans cette section il srsquoagira de proceacuteder agrave la veacuterification de lrsquohypothegravese principale
(Paragraphe I) et des hypothegraveses secondaires (Paragraphe II)
Paragraphe I Veacuterification de lrsquohypothegravese principale
Dans la partie theacuteorique de notre eacutetude nous avons estimeacute comme hypothegravese principale
que les donneacutees agrave caractegravere personnel des personnes concerneacutees par le traitement sont souvent
deacutetourneacutees agrave drsquoautres finaliteacutes que celle pour laquelle elles ont eacuteteacute collecteacutees Il srsquoagit dans
cette partie de voir si cette hypothegravese se veacuterifie dans la pratique Selon les dirigeants des
compagnies de transport les donneacutees personnelles des voyageurs sont utiliseacutees agrave des finaliteacutes
autres que la vente des tickets consentie par les voyageurs sans leurs consentements Selon
lrsquoarticle 14 de la LPDP les donneacutees doivent ecirctre collecteacutees pour des finaliteacutes deacutetermineacutees
explicites et leacutegitimes En conseacutequence les donneacutees ne peuvent ecirctre utiliseacutees agrave drsquoautres fins que
celles pour lesquelles elles ont eacuteteacute collecteacutees alors que les responsables de transport le font sans
le consentement des voyageurs ni les informer des diffeacuterentes finaliteacutes ulteacuterieures au traitement
Ces comportements sont une violation systeacutematique des droits des personnes concerneacutees en
raison du fait que crsquoest la maniegravere dont les donneacutees sont traiteacutees qui peut mettre agrave mal la vie
priveacutee des voyageurs
En outre 304 voyageurs donc 3092 des voyageurs ne connaissent pas le niveau de
protection de leurs donneacutees personnelles par les responsables de traitement ce qui est en
contradiction avec lrsquoarticle 17 de la LPDP En effet lrsquoalineacutea 1 de cet article donne la possibiliteacute
aux personnes concerneacutees laquo de connaicirctre les donneacutees conserveacutees qui les concernent raquo Ce droit
doit ecirctre effectif et doit pouvoir ecirctre exerceacute sans deacutelai ou frais excessifs Cependant lrsquoexercice
de ce droit par les personnes concerneacutees pour srsquoenqueacuterir aupregraves des responsables des traitements
le niveau de traitement des donneacutees personnelles connaitre la compatibiliteacute des traitements
avec les finaliteacutes initiales des traitements et des mesures organisationnelles et techniques mises
en place par les responsables des traitements dans le cadre drsquoune meilleure protection de leurs
donneacutees personnelles
Toutes les deux compagnies de transport nrsquoont pas effectueacute les formaliteacutes preacutealables
(deacuteclarations et autorisations) au traitement des donneacutees ce qui est en deacutephasage avec la loi du
24 avril 2004En effet conformeacutement agrave lrsquoarticle 19 et suivant de la LPDP tout personne
physique ou morale deacutecidant de la creacuteation des donneacutees personnelles agrave lrsquoobligation de faire la
66
deacuteclaration des traitements agrave la CIL avant la mise en œuvre des traitements Crsquoest pendant
lrsquoaccomplissement des formaliteacutes administratives que les responsables des traitements
deacuteterminent explicitement les finaliteacutes des traitements les destinataires des traitements et les
sous-traitants les possibiliteacutes de transfert agrave lrsquoeacutetranger des donneacutees personnelles et la limitation
de la dureacutee de conservation des donneacutees
Par conseacutequent notre hypothegravese principale se veacuterifie en pratique car 100 des
responsables des traitements collectent des donneacutees agrave drsquoautres fins autres que celles consenties
par les voyageurs
Lrsquohypothegravese principale eacutetant veacuterifieacutee nous allons nous appesantir sur la veacuterification des
hypothegraveses secondaires
Paragraphe II Veacuterification des hypothegraveses secondaires
Les hypothegraveses secondaires au nombre de trois (3) seront veacuterifieacutees dans ce paragraphe
Il srsquoagit drsquoune part de la protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
par les responsables de traitement(A) drsquoautre part il nrsquoexiste aucune relation entre les diffeacuterents
intervenants dans la protection des donneacutees personnelles(B) et enfin les personnes concerneacutees
ne sont pas informeacutees de leur droit sur la protection de leurs donneacutees personnelles(C)
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel
A ce niveau nous avons releveacute que les donneacutees personnelles des voyageurs ne sont pas
proteacutegeacutees de faccedilon efficace par les responsables des traitements Ainsi avons-nous souligneacute que
les personnes concerneacutees ne connaissent pas le niveau de protection de leurs donneacutees
personnelles qursquoils nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et que les
responsables des traitements nrsquoexeacutecutent pas leur obligation drsquoinformation Pour veacuterifier ces
hypothegraveses nous avons adresseacute des questionnaires aux voyageurs des compagnies de transport
du TSR et RAHIMO TRANSPORT Les donneacutees de lrsquoenquecircte sont consigneacutees dans le tableau
ci-dessous
67
Tableau V Lrsquoineffectiviteacute de la protection des donneacutees personnelles des voyageurs par les
responsables de traitement
Reacuteponses Nombre
Cateacutegories H F T Taux ()
Aucune ideacutee sur le niveau de protection
des donneacutees personnelles
205 99 304 3092
Absence drsquoinformation 410 103 513 5219
Pas une ideacutee sur la protection des
donneacutees personnelles
96 70 166 16 89
La protection est efficace 00 00 00 00
Total 711 272 983 100
Source reacutesultats de nos enquecirctes feacutevrier-mars
En reacutesumeacute les chiffres sont les suivants
- 3092 des voyageurs disent qursquoils ne connaissent pas le niveau de protection de leurs
donneacutees personnelles
- 5219 des voyageurs trouvent que les responsables de traitement nrsquoexeacutecutent pas leur
obligation drsquoinformation
- 1689 des voyageurs nrsquoont pas une ideacutee sur la protection des donneacutees personnelles et
- 00 des voyageurs sur la protection efficace
En deacutefinitive cette hypothegravese est veacuterifieacutee car tous les voyageurs estiment que leurs
droits ne sont pas proteacutegeacutes efficacement Cela se confirme par le fait que les compagnies de
transport nrsquoinforment pas les voyageurs des destinataires de leurs donneacutees la dureacutee de
conservation et les autres finaliteacutes des traitements de leurs donneacutees personnelles qui affectent
une protection efficace des donneacutees personnelles A ce sujet un voyageur suggegravere laquo il faut que
la Commission de lrsquoInformatique et des Liberteacutes sanctionne seacutevegraverement les responsables des
traitements qui outrepassent les textes juridiques relatifs agrave la protection des donneacutees
personnelles et sensibiliser la population sur leurs droits sur la protection de leurs donneacutees
personnelles raquo Si le droit daller et de venir de vivre de disposer de son corps sont des droits
connus de la plupart des citoyens la loi burkinabeacute portant protection des donneacutees agrave caractegravere
personnel lest moins au regard du fait qursquoelle est reacutecente pour avoir eacuteteacute adopteacutee preacuteciseacutement le
20 Avril 2004 Le caractegravere reacutecent de ladoption de cette loi fait quelle est peu connue
68
Cette meacuteconnaissance ne se limite pas uniquement aux profanes elle seacutetend mecircme aux
eacutetudiants en faculteacute de droit priveacute ou aux juristes en geacuteneacuteral Cette meacuteconnaissance de la loi est
une entrave agrave son application Il faut noter par ailleurs laspect technique des dispositions de
cette loi Si mecircme les speacutecialistes en droit des nouvelles technologies ont parfois du mal agrave
saccommoder avec les termes employeacutes par le leacutegislateur nous comprenons bien que ce serait
plus difficile pour les profanes de pouvoir la comprendre Pour lapplication mateacuterielle de la loi
il faudrait la constitution dun fichier Toutefois malgreacute les explications donneacutees par larticle
premier de la loi burkinabegrave portant protection des donneacutees agrave caractegravere personnel la
compreacutehension du terme fichier nest pas claire dans les esprits
Selon les statistiques de lUNESCO le taux dalphabeacutetisation au Burkina Faso est de
59 Aux dires de la Ministre de leacuteducation nationale et de lenseignement technique ce taux
jugeacute faible constitue un frein au deacuteveloppement humain durable Ce problegraveme dalphabeacutetisation
que connaicirct la population est en partie la cause de la meacuteconnaissance de la loi
Lanalphabegravete qui ne sait ni eacutecrire et ni lire peut-il sinteacuteresser agrave des dispositions leacutegales
qui se rapportent agrave la protection de ses donneacutees personnelles lorsque toutes ces expressions
sont pour lui un langage inaccessible Il saisit agrave peine linteacuterecirct de tous ces textes quil ignore
dailleurs Lanalphabeacutetisme est donc un frein agrave la connaissance de la loi relative aux donneacutees agrave
caractegravere personnel Cest conscient de ce fait que lors de la journeacutee drsquoalphabeacutetisation la
Ministre de leacuteducation sest fixeacutee comme objectif de faire baisser consideacuterablement ce taux agrave
35 Elle a donc pour atteindre cet objectif inviteacute les populations analphabegravetes agrave se
familiariser avec la lecture leacutecriture et le calcul afin de seacutepanouir de souvrir au
deacuteveloppement aux innovations Mais comment une personne qui ne sait ni lire ni eacutecrire peut-
elle se familiariser avec la lecture si elle na pas de formation en la matiegravere
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la deuxiegraveme
hypothegravese qui a trait agrave la relation existante entre les diffeacuterents intervenants sur le logiciel dans
la protection des donneacutees personnelles des voyageurs
B-Absence de relation entre les diffeacuterents intervenants dans la protection des donneacutees
personnelles
La veacuterification de cette hypothegravese a eacuteteacute possible gracircce au guide drsquoentretien qui a eacuteteacute
adresseacute au Directeur Geacuteneacuteral de MTOPO aux dirigeants de TSR et RAHIMO TRANSPORT
Il srsquoagit pour nous de connaitre si les responsables des traitements protegravegent collectivement les
donneacutees personnelles des voyageurs
69
Pour ce faire la question suivante leur a eacuteteacute poseacutee laquo Avez-vous preacutevu une politique collective
de protection des donneacutees personnelles avec vos partenaires raquo
Tableau VI Absence de relation entre les diffeacuterents intervenants du logiciel dans le cadre de
la protection des donneacutees personnelles des voyageurs
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes Feacutevrier-Mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee car les personnes avec qui nous sous sommes
entretenues affirment qursquoil nrsquoexiste pas une politique de protection des donneacutees personnelles
avec leurs partenaires Les diffeacuterents intervenants nrsquoont pas utiliseacute la possibiliteacute qui leur est
offerte par la commission agrave travers laquelle si plusieurs entreprises exploitent en commun un
logiciel elles ont la faculteacute de choisir un responsable principal pour accomplir les formaliteacutes de
deacuteclaration agrave la CIL et de mettre en place des mesures organisationnelles et techniques dans le
cadre drsquoune meilleure protection des donneacutees personnelles des utilisateurs La protection
collective des donneacutees personnelles par les intervenants permet de deacuteleacuteguer la partie la plus
diligente et professionnelle pour veiller agrave une meilleure protection des donneacutees sur le logiciel
La veacuterification de cette hypothegravese nous conduit ainsi agrave la veacuterification de la troisiegraveme
hypothegravese qui a trait agrave lrsquoabsence drsquoinformation des voyageurs de leurs droits des donneacutees
personnelles
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection des
donneacutees personnelles
La veacuterification de cette hypothegravese a eacuteteacute fructueuse gracircce agrave nos questionnaires et guide
drsquoentretien adresseacutes respectivement aux voyageurs et aux dirigeants des compagnies de
transport Pour ce faire la question suivante a eacuteteacute poseacutee aux voyageurs laquo Etes-vous informeacutes
de vos droits sur la protection de vos donneacutees personnelles raquo
Les donneacutees de lrsquoenquecircte sont consigneacutees dans les tableaux ci-dessous
70
Tableau VII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 03 00 03 100
Total 3 00 3 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Pour les responsables de traitement cette question leur a eacuteteacute poseacutee laquo Avez-vous informeacute
les voyageurs de leur droit sur la protection des donneacutees personnelles raquo
Tableau VIII Absence drsquoinformation des voyageurs de leurs droits
Reacuteponses Nombre
Cateacutegories H F T Taux
Oui 00 00 00 00
Non 711 272 983 100
Total 711 272 983 100
Source reacutesultat de nos enquecirctes feacutevrier-mars 2019
Cette hypothegravese est agrave 100 veacuterifieacutee aussi car les personnes avec qui nous nous sommes
entretenues et auxquelles nous avons soumis nos questionnaires affirment que les responsables
des traitements nrsquoinforment pas les personnes concerneacutees de leurs droits sur la protection de
leurs donneacutees agrave caractegravere personnel lrsquoabsence drsquoinformation des voyageurs de leurs droits dans
le contrat de transport des conditions drsquoexercice de leurs droits Cela montre aussi une inaction
de la Commission dans lrsquoinformation et la sensibilisation des citoyens de leurs droits sur la
protection de leurs donneacutees personnelles et de la promotion de cette loi nouvelle
Pour un journaliste de la chaicircne de teacuteleacutevision nationale rares sont ceux qui preacutetendront
ne pas connaicirctre la caisse nationale de la Seacutecuriteacute Sociale (CNSS) agrave travers ses campagnes de
sensibilisation sur cette chaicircne de teacuteleacutevision Par ces campagnes mecircme les plus jeunes ont une
connaissance plus ou moins approfondie des missions de la CNSS et de son domaine Il en est
de mecircme pour les campagnes de sensibilisation relatives au paiement dimpocircts Cette campagne
est appuyeacutee par des consultations en direct Si la CNSS par ce canal est bien connue la CIL par
71
contre est meacuteconnue de la population car nombreux sont ceux qui ignorent son existence Pour
les mieux informeacutes CIL est connue en tant Commission de lrsquoInformatique et des Liberteacutes Cette
meacuteconnaissance de la CIL en tant quorgane chargeacute de la protection des donneacutees agrave caractegravere
personnel lui est imputable La CIL sur sa page officielle Facebook ou sur son site internet
saffiche plus en tant quautoriteacute de protection des donneacutees personnelles Ce deacutefaut
dinformation sur la CIL et ses missions entravent la protection efficace des donneacutees
personnelles puisque les personnes concerneacutees par le traitement ne sont pas informeacutees sur la
possibiliteacute dun quelconque recours et de lorgane qui prendrait en charge leur requecircte
Les donneacutees qui viennent drsquoecirctre preacutesenteacutees sont issues de nos enquecirctes de terrain
courant feacutevrier-mars 2019 Et agrave y observer on se rend compte que les donneacutees personnelles des
voyageurs ne sont pas proteacutegeacutees par les compagnies de transport Crsquoest pourquoi afin de
reacutesoudre ces difficulteacutes des propositions sont faites dans le chapitre qui suit
72
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION
DES DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES
Au regard des reacutesultats de notre enquecircte la protection des donneacutees personnelles des
voyageurs par les responsables des traitements est ineffective Il est donc neacutecessaire de mettre
en place des strateacutegies neacutecessaires pour une meilleure protection des donneacutees personnelles des
voyageurs et des personnes concerneacutees en geacuteneacuteral Pour une meilleure protection des donneacutees
personnelles des personnes concerneacutees nous proposons drsquoune part des reformes leacutegislatives
et des mesures de sensibilisation (section I) et drsquoautre part les mesures agrave prendre par les
utilisateurs et par les responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere
personnel (section II)
Section I Les reformes leacutegislatives et les mesures de sensibilisation
Les compagnies de transport en particulier et en geacuteneacuteral beaucoup drsquoentreprises
responsables de traitement ne protegravegent pas efficacement les donneacutees personnelles de leurs
clients ce qui constitue une violation de leurs obligations et les droits des personnes concerneacutees
Cela se justifie par la complexiteacute et le manque de la promotion de la LDPD Pour remeacutedier agrave
cela nous proposons drsquoune part des reformes leacutegislatives (Paragraphe I) et drsquoautre part les
mesures de sensibilisations(paragraphe II)
Paragraphe I Les reformes leacutegislatives
A-L lsquoextension du champ drsquoapplication de la LPDP
Selon lrsquoarticle 8 LPDP laquola preacutesente loi srsquoapplique aux traitements automatiseacutes ou non
de donneacutees agrave caractegravere personnel contenues ou appeleacutees agrave figurer dans les fichiers raquo Le
leacutegislateur restreint le champ drsquoapplication mateacuteriel de la loi171 Cela voudrait dire par exemple
que la loi nrsquoa vocation agrave srsquoappliquer aux traitements automatiseacutes que srsquoil y a constitution drsquoun
fichier Pourtant cela est en deacutephasage total avec lrsquoensemble des leacutegislations de protection des
donneacutees qui se sont toujours appliqueacutees aux traitements automatiseacutes de donneacutees agrave caractegravere
personnel en principe Les traitements non automatiseacutes nrsquoeacutetant concerneacutes que srsquoil y a
constitution de fichiers Quant au champ drsquoapplication territorial elle srsquoapplique au traitement
effectueacute au Burkina Faso et hors du Burkina Faso Facebook WhatsApp Integram teacuteleacutegram et
171 Article 8 de la LPDP
73
bientocirct Town square les sites de socialisation attirent de plus en plus de membres de toutes
tranches dacircge et de toutes nationaliteacutes Neacuteanmoins les utilisateurs nont pas toujours
conscience des risques encourus en eacuteparpillant des informations personnelles sur ces sites En
outre ces sites de socialisation sont situeacutes le plus souvent hors du continent africain172 Le
leacutegislateur doit eacutetendre le champ drsquoapplication agrave tous les traitements qursquoils soient automatiseacutes
ou pas sans faire reacutefeacuterence agrave lrsquoeacutetablissement drsquoun fichier crsquoest-agrave-dire eacutetendre aux traitements
automatiseacutes de donneacutees personnelles effectueacutes en labsence de constitution de fichier En outre
le caractegravere drsquoapplication hors national de la loi suscite des interrogations parce que difficile agrave
mettre en œuvre par les personnes concerneacutees De ce fait le leacutegislateur doit preacutevoir des
techniques drsquoapplicabiliteacute de cette loi hors du Burkina pour une protection effective des donneacutees
personnelles des personnes vivantes au Burkina Faso membres des reacuteseaux sociaux
Certaines contradictions peuvent aussi ecirctre releveacutees concernant par exemple la
disposition de lrsquoarticle 11 qui preacutevoit que la loi ne srsquoapplique pas aux traitements de donneacutees
ayant pour fin le suivi theacuterapeutique ou meacutedical des patients alors que par lrsquoapplicat ion de
nombres de dispositions de la loi (articles 17 20 21 23) ces traitements se trouvent cerneacutes par
la loi173 Enfin certaines formulations srsquoavegraverent maladroites entraicircnant une incertitude sur le
contenu de la loi A la lecture de lrsquoarticle 14 par exemple on peut se poser la question de savoir
si la reacuteutilisation des donneacutees est-elle admise ou non En effet si lrsquoalineacutea premier preacutevoit que
les donneacutees ne peuvent ecirctre utiliseacutees qursquoen vue des finaliteacutes pour lesquelles elles ont eacuteteacute
collecteacutees ce qui exclut a priori toute reacuteutilisation Lrsquoalineacutea 2 semble admettre cette reacuteutilisation
en preacutevoyant la proportionnaliteacute des donneacutees laquoau regard des finaliteacutes pour lesquelles elles sont
traiteacutees ulteacuterieurement raquo Le leacutegislateur doit pouvoir deacutepartager ces contradictions des
dispositions qui rendent difficiles la compreacutehension des dispositions de ces articles par les
profanes
Le leacutegislateur burkinabeacute doit eacutegalement tirer une leccedilon sur quelques principes du nouveau
regraveglement geacuteneacuteral sur la protection des donneacutees personnelles de lrsquoUnion Europeacuteenne
174notamment le principe de la tenue drsquoun registre de traitement des donneacutees(Article 30)
coopeacuteration avec lrsquoautoriteacute de controcircle(Article 31)notification agrave lrsquoautoriteacute de controcircle de la
violation de donneacutees agrave caractegravere personnel communication agrave la personne concerneacutee de la
violation lrsquoanalyse drsquoimpact relatif agrave la protection des donneacutees personnelles(Article 55) et
172 Les GAFAM sont des socieacuteteacutes de nationaliteacutes ameacutericaines mais dispose au Burkina Faso des moyens qui collectent des donneacutees personnelles des Burkinabegraves Le leacutegislateur burkinabeacute doit eacutetendre le champ drsquoapplication de la loi hors du Burkina tout comme le nouveau RGPD afin de responsabiliser les entreprises sieacutegeant agrave lrsquoeacutetranger mais disposant au BF des moyens de collecte des donneacutees personnelles 173 Des reformulations doivent ecirctre faites en vue drsquoexpliciter les dispositions de ces articles 174 Articles 30 31 et 55 du RGPD
74
consultation preacutealable deacutesignation drsquoun deacuteleacutegueacute agrave la protection des donneacutees personnelles et
lrsquoeacutelaboration drsquoun code de conduite La tenue du registre est indeacuteniablement importante que
lrsquoaccomplissement des formaliteacutes preacutealables agrave la CIL en raison du fait qursquoelle permettra agrave ce
dernier drsquoeffectuer des controcircles agrave tout moment sans attendre les deacuteclarations et de reacuteduire ses
insuffisances
La LPDP nrsquoa pas preacutevu des dispositions speacutecifiques reacutegissant les reacuteseaux sociaux alors
qursquoils sont aujourdrsquohui des veacuteritables canaux de vulgarisations des informations personnelles
qui mettent agrave mal la vie priveacutee des membres par les geacuteants du net Il faut une leacutegislation en ce
sens agrave lrsquoexemple de la Cote Drsquoivoire qui a eacuteteacute tregraves vigilent dans la reacutedaction quant agrave lrsquoinstitution
des regravegles speacutecifiques responsabilisant les responsables des reacuteseaux sociaux175 Il faut eacutetendre
eacutegalement les conditions drsquoutilisation des applications mobiles et les obligations des
responsables des traitements
Nous proposons eacutegalement au leacutegislateur burkinabeacute drsquoinseacuterer une partie des dispositions
de la LPDP dans le code du travail notamment la protection de la vie priveacutee des travailleurs
dans les lieux du travail176 Lrsquointeacuterecirct de cette insertion est qursquoelle permettrait non seulement aux
travailleurs de connaitre leurs droits mais aussi de pouvoir les mettre en œuvre comme les
autres dispositions du code de travail supposeacutees les plus maitriseacutees par les citoyens Apregraves avoir
apporteacute des propositions sur lrsquoextension du champ drsquoapplication de la loi nous verrons
comment eacutetendre le pouvoir de controcircle et de sanction de la commission
BL lsquoextension du pouvoir de controcircle et de sanction de la commission
Nous pensons que lrsquoextension du pouvoir drsquoaction et de sanction de la CIL agrave lrsquoeacutegard des
violataires des regravegles de protection des donneacutees personnelles srsquoavegravere neacutecessaire agrave une meilleure
protection des donneacutees personnelles En effet le pouvoir confeacutereacute agrave la CIL en matiegravere de controcircle
est tregraves restreint et ne permet pas agrave celle-ci de veiller agrave une meilleure protection des donneacutees
personnelles des utilisateurs en raison du fait que le systegraveme est deacuteclaratif Le controcircle a
posteriori de la mise en œuvre des traitements est le seul moyen permettent agrave la commission
drsquoeffectuer les veacuterifications sur place Le controcircle sur place avant la deacuteclaration est plus
pertinent que celui posteacuterieur agrave la deacuteclaration
175 Article 41 al 3 de la loi ivoirienne portant protection des donneacutees agrave caractegravere personnel 176 La protection des donneacutees personnelles des travailleurs dans les lieux de travail est reacutegie speacutecifiquement par le code de travail Lrsquoobligation dinformation preacutealable reacutesulte de larticle L 121-8 du code du travail francaisPar ailleurs larticle L 432-2-1 prescrit que le comiteacute dentreprise doit ecirctre informeacute et consulteacute preacutealablement agrave la deacutecision de mise en œuvre dans lentreprise sur les moyens ou les techniques permettant un controcircle de lactiviteacute des salarieacutes
75
En effet la commission pourrait mettre en place une commission drsquoenquecircte chargeacutee de veacuterifier
la conformiteacute des traitements des donneacutees personnelles avec la LPDP aux seins des entreprises
et de formuler des recommandations demandant agrave ces derniegraveres drsquoeffectuer des deacuteclarations
dans des brefs deacutelais En cas drsquoinobservations agrave ces recommandations la CIL pourrait leur
infliger des sanctions seacutevegraveres conformeacutement au texte en vigueur
Les sanctions preacutevues par la LPDP ne sont pas appliqueacutees Ces dispositions prises dans
le cadre de la protection des donneacutees agrave caractegravere personnel sont agrave saluer Cependant elles ont
une porteacutee restreinte En plus les diffeacuterentes sanctions eacutedicteacutees sont moins seacutevegraveres ce qui
pourrait ecirctre disproportionneacute agrave la violation constateacutee Le leacutegislateur burkinabeacute quant agrave lui a
consacreacute huit(8) articles agrave la reacutepression des violations des donneacutees personnelles telles que laquo le
fait de proceacuteder ou de faire proceacuteder agrave des traitements automatiseacutes dinformations nominatives
sans quaient eacuteteacute respecteacutees les formaliteacutes preacutealables agrave leur mise en œuvre preacutevues par la loi
le fait de proceacuteder ou de faire proceacuteder agrave un traitement automatiseacute dinformations nominatives
sans prendre toutes les preacutecautions utiles pour preacuteserver la seacutecuriteacute desdites informations
notamment empecirccher quelles ne soit deacuteformeacutees endommageacutees ou communiqueacutees agrave des tiers
non autoriseacutes le fait de communiquer agrave des tiers non autoriseacutes ou dacceacuteder sans autorisation
ou de faccedilon illicite aux donneacutees agrave caractegravere personnel le deacutetournement de finaliteacute dune
collecte ou dun traitement de donneacutees agrave caractegravere personnel le fait de collecter des donneacutees
par un moyen frauduleux deacuteloyal ou illicite ou de proceacuteder agrave un traitement dinformations
nominatives concernant une personne physique malgreacute son opposition lorsque cette opposition
est fondeacutee sur des raisons leacutegitimes le fait de mettre ou de conserver en meacutemoire informatiseacutee
sans laccord expregraves de linteacuteresseacute des donneacutees nominatives qui directement ou indirectement
font apparaicirctre les origines raciales ethniques ou les opinions politiques philosophiques ou
religieuses ou les appartenances syndicales ou les mœurs des personnes le fait sans laccord
de la Commission de linformatique et des liberteacutes de conserver des informations sous une
forme nominative au-delagrave de la dureacutee preacutevue agrave la demande de lavis ou agrave la deacuteclaration
preacutealable agrave la mise en œuvre du traitement informatiseacute le fait pour toute personne qui a
recueilli agrave loccasion de leur enregistrement de leur classement de leur transmission ou dune
autre forme de traitement des informations nominatives dont la divulgation aurait pour effet
de porter atteinte agrave lhonneur et agrave la consideacuteration de linteacuteresseacute ou agrave lintimiteacute de sa vie priveacutee
de porter sans autorisation de linteacuteresseacute ces informations agrave la connaissance dun tiers qui na
pas qualiteacute pour les recevoir le fait dentraver laction de la commission raquo De ce fait la
Commission devrait revoir ce cas en formulant des mesures et recommandations agrave lrsquoeacutegard du
gouvernement et agrave lrsquoAssembleacutee Nationale portant modification de ces dispositions Comme
76
proposition de projet drsquoadaptation de la loi nous proposons agrave la CIL de tirer exemple des
sanctions preacutevues notamment par le RGPD Le RGPD preacutevoit des sanctions administratives
aux responsables de traitement fautifs allant jusqursquoagrave 20 000 000 drsquoeuros et srsquoil srsquoagit drsquoune
entreprise allant jusqursquoagrave 4 du chiffre daffaires annuel mondial total de lexercice preacutecegravedent
Cette disposition si elle est adopteacutee par le Burkina Faso aura pour conseacutequence une
sensibilisation des entreprises et autres responsables de traitement de donneacutees personnelles
relative agrave la maniegravere dont ils gegraverent leur politique drsquoexploitation des donneacutees personnelles Cette
lourde sanction si elle est appliqueacutee de plein droit permettrait de reacuteduire les infractions agrave la
LPDP
En plus des propositions drsquoun projet de modification de la LPDP la sensibilisation des
diffeacuterents acteurs agrave la protection des donneacutees personnelles et les personnes concerneacutees est
neacutecessaire
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees
Pour ameacuteliorer la protection des droits des personnes concerneacutees par le traitement il
serait impeacuterieux pour la Commission de proceacuteder agrave une meilleure sensibilisation des dirigeants
des compagnies de transport (A) et la sensibilisation des personnes concerneacutees de leurs droits
sur la protection des donneacutees personnelles(B)
A La sensibilisation des responsables de traitement sur leurs devoirs
La Commission de lrsquoInformatique et Liberteacutes devrait organiser des seacuteminaires de
sensibilisation au profit des dirigeants des compagnies de transport et MTOPO sur les mesures
agrave prendre pour une meilleure protection des donneacutees agrave caractegravere personnel des personnes
concerneacutees dont ils accegravedent conformeacutement agrave la LPDP De ce fait ce seacuteminaire informerait les
responsables de traitement de leurs obligations sur la protection des informations personnelles
des voyageurs et les droits des personnes concerneacutees par le traitement en les recommandant a
priori drsquoaccomplir les formaliteacutes de deacuteclaration des traitements agrave la CIL ce qui permettrait agrave
cette derniegravere de veacuterifier ulteacuterieurement la conformiteacute des deacuteclarations des traitements agrave travers
son pouvoir de controcircle au sein des responsables En outre il permettrait aux responsables de
connaitre les droits des personnes concerneacutees et drsquoinformer ces derniers en cas de traitement
La deacuteclaration permettrait agrave la Commission de limiter les traitements des donneacutees suivant une
77
autre finaliteacute ulteacuterieurement qui serait incompatible avec la finaliteacute initiale et la dureacutee de
conservation des donneacutees personnelles
Par ailleurs pour atteindre tous les acteurs et les responsables de traitement des
entreprises priveacutees et semi priveacutees la CIL pourrait organiser des seacuteminaires au moins deux (02)
fois par an au sein de la Chambre de Commerce et de lrsquoIndustrie invitant tous les responsables
agrave une participation obligatoire Le deacutefaut de cette participation serait passible de sanction seacutevegravere
sauf en cas survenance drsquoun cas de force majeur Cette participation obligatoire de ces
dirigeants aux seacuteminaires permettrait non seulement de faire la promotion de la LPDP et
drsquoinformer ces derniers de leurs obligations en matiegravere de protection des donneacutees personnels
sur lrsquointernet et sur les lieux de travail
La sensibilisation des responsables de traitement sur leurs devoirs nous amegravene
eacutegalement agrave sensibiliser les personnes concerneacutees sur leurs droits et devoirs en matiegravere de
protection des donneacutees personnelles
B La sensibilisation des personnes concerneacutees
Dans le cadre drsquoune meilleure sensibilisation des personnes concerneacutees la CIL doit les
sensibiliser sur leurs droits et devoirs (1) drsquoune part et drsquoautre part sur les risques lieacutes agrave la mise
agrave disposition de leurs donneacutees personnelles (2)
1 Les sensibilisations sur leurs droit et devoirs
A partir de 2004 le Burkina Faso a adopteacute de nombreux textes normatifs dans le
domaine des Nouvelles Technologies de lInformation et de la Communication (NTIC) Il sagit
notamment de la loi relative agrave la protection des donneacutees agrave caractegravere personnel et de la loi
relative aux transactions eacutelectroniques Lappreacutehension de ces dispositions est difficile mecircme
pour les juristes encore moins pour les profanes177 La CIL doit donc porter agrave la connaissance
des citoyens leurs droits relativement agrave la protection des donneacutees personnelles Ainsi ils
doivent ecirctre eacuteclaireacutes sur les actes qui pourraient constituer une violation de leurs donneacutees
personnelles La CIL doit par ailleurs faire connaicirctre aux citoyens les instances vers lesquelles
ils peuvent sorienter pour obtenir gain de cause La protection des donneacutees personnelles nest
177 ICOU LIBALY La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte dIvoire disponible sur laquo httpwwwvillage-justicecomarticlesdifficile-apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre 2018 agrave 15h)
78
pas uniquement valable pour ses propres donneacutees personnelles mais aussi pour ceux des autres
personnes Ainsi la sensibilisation doit porter en outre sur les devoirs des utilisateurs
notamment labstention de divulguer les donneacutees des autres membres sans leur consentement
En dautres termes ils doivent ecirctre exhorteacutes au respect des donneacutees personnelles des autres
membres Il faut noter que pour terminer ces campagnes doivent ecirctre meneacutees de telle sorte agrave
atteindre les cibles viseacutees
Pour informer les personnes concerneacutees de leurs droits sur la protection de leurs donneacutees
personnelles outre les publications sur le site de la CIL et les radios la commission pourrait
faire des publications des droits des personnes concerneacutees sur les reacuteseaux sociaux les plus
visiteacutes par les citoyens tels que YouTube WhatsApp instegram teacuteleacutegramme et Facebook
Pour se faire elle peut creacuteer des comptes sur YouTube WhatsApp et Facebook puis publier
quotidiennement des videacuteos des images sous forme de dessins animeacutes dans toutes les langues
parleacutees au Burkina Faso qui diffuseraient les facteurs de risques de la violation de la vie priveacutee
des personnes physiques par les TIC et informeraient les personnes concerneacutees de leurs droits
La publication des droits des personnes concerneacutees sur ces reacuteseaux permettrait aux utilisateurs
de les connaitre et de les mettre en œuvre Lrsquoavantage de ces publications est non neacutegligeable
en raison du fait qursquoelles permettraient aux utilisateurs de srsquoinformer et de diffuser ces
publications aux autres utilisateurs des reacuteseaux sociaux Lrsquoaccegraves agrave ces informations permettrait
aux utilisateurs en geacuteneacuteral drsquoavoir une ideacutee sur la protection de leurs informations personnelles
et de prendre des meilleures preacutecautions pour maitriser les facteurs de risques susceptibles de
porter atteinte agrave leur inteacutegriteacute morale et en geacuteneacuteral la violation de leur vie priveacutee
Cette publication pourrait porter eacutegalement sur les enjeux eacuteconomiques et politiques des
GAFAM qui sont des entreprises de technologies les plus puissantes du monde en matiegravere de
traitement des donneacutees personnelles En effet les donneacutees personnelles des utilisateurs sont
lrsquoobjet de vente par ces entreprises agrave drsquoautres entreprises En outre lrsquoaccegraves des donneacutees
personnelles permettrait aux responsables de controcircler la masse de population Apregraves le
teacuteleacutechargement de ces applications ces entreprises mettent agrave la disposition des utilisateurs des
conditions drsquoutilisation et une politique de confidentialiteacute dont ces derniers devront accepter
avant lrsquoouverture de leur compte Les utilisateurs devront prendre le soin de lire ces conditions
avant drsquoapporter leur engagement afin de savoir si lesdites conditions ont preacutevu une clause de
protection de leurs informations personnelles Apregraves avoir proposeacute une sensibilisation des
personnes concerneacutees sur leurs droits et devoirs la sensibilisation de ces derniegraveres sur les
risques lieacutes agrave la mise agrave disposition de leurs donneacutees personnelles srsquoavegravere neacutecessaire
79
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de leurs
donneacutees personnelles
laquo Pour vivre heureux vivons cacheacutes raquo Voilagrave un adage qui paraicirct bien loin des
preacuteoccupations des promoteurs de reacuteseaux sociaux et dune grande partie de leurs utilisateurs
On pourrait mecircme se demander si pour vivre laquo connecteacutes raquo il ne faut pas vivre laquo exhibeacutes
raquo Voyant la toile comme un univers de liberteacute sans contrainte la plupart des grands vecteurs
de communication actuels fondent leurs pratiques sur le postulat que tout doit ecirctre rendu public
On peut sans doute y voir linfluence du droit ameacutericain (les serveurs des reacuteseaux sociaux les
plus repreacutesentatifs se trouvent aux Eacutetats-Unis) les Eacutetats-Unis ayant toujours eacuteteacute plus soucieux
deacuteviter les restrictions sur le commerce eacutelectronique que dassurer une protection effective des
donneacutees personnelles sur Internet Toutefois cela correspond aussi et surtout agrave lesprit de la laquo
geacuteneacuteration du Net raquo qui fait eacutemerger une nouvelle forme de sociabiliteacute fondeacutee sur les eacutechanges
libres et la conversation en continue178
Cette nouvelle forme de sociabiliteacute sied aux utilisateurs La plupart des photos prises
sont destineacutees agrave ecirctre posteacutees179 Les mentions laquo jaime raquo et laquo commentaires raquo laisseacutees par les
amis ou connaissances apportent une certaine satisfaction et rendent les internautes deacutependants
de cette pratique Il faut signifier que chaque jour le reacuteseau social Facebook abrite au total 240
milliards dimages soit pregraves de 30 fois plus que Flickr et 70 fois plus que Instagram 350
millions de nouvelles photos sont teacuteleacutechargeacutees chaque jour sur la plateforme Snapchat le
service mobile permettant de partager des photos pendant une dureacutee limite enregistre lui 150
millions de nouvelles images teacuteleacutechargeacutees tous les jours180
Il faut dire que les internautes ignorent que la diffusion publique dinformations sur un reacuteseau
social est bien souvent irreacuteversible La meacutemoire informatique est telle quil est deacutesormais
possible de conserver sans limite de temps toutes les informations diffuseacutees en ligne
La laquo geacuteneacuteration du Net raquo est trop jeune pour avoir lexpeacuterience de la meacutemoire du temps
Elle na pas conscience que la reacutealiteacute finit toujours par la rattraper lorsque ressurgissent bien
plus tard des images ou des informations deacuterangeantes glaneacutees sur le Net par des curieux ou
de futurs employeurs Les informations laisseacutees par les internautes peuvent ecirctre pirateacutees ou
178 M DAGNAUD Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019 agrave 16 h) 179 CDani L GARINO Quels droit pour les reacuteseaux sociaux disponible sur laquo httplaloidespartiesfrdroit-reseaux-sociaux raquo 180 Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre juridique europeacuteen disponible sur laquo httpwwwldh-franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre 2018)
80
tombeacutees entre les mains de criminels qui sen serviraient pour les tracer et attenter agrave leur vie
Cette pratique devrait donc ecirctre abandonneacutee Dans le pire des cas ils devraient filtrer les
informations quils publient
En Reacutepublique Tchegraveque des campagnes sadressent essentiellement aux enfants181 Une
campagne de sensibilisation devrait ecirctre organiseacutee par la CIL pour exhorter la jeunesse sur le
partage massif de leurs informations personnelles sur les reacuteseaux sociaux La CIL en vertu de
sa mission de protection des donneacutees personnelles devrait sensibiliser ces jeunes internautes
sur les dangers que cette pratique preacutesente pour leurs donneacutees personnelles Apregraves avoir eacutevoqueacute
les reformes leacutegislatives et les mesures de sensibilisations agrave effectuer nous analyserons les
mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles pour seacutecuriser leurs donneacutees
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel
Pour parvenir au respect scrupuleux de ses obligations de seacutecurisation des donneacutees agrave
caractegravere personnel collecteacutees le responsable du traitement doit prendre certaines mesures Le
traitement des donneacutees personnelles par les logiciels eacutetant un traitement automatiseacute des
mesures adapteacutees doivent ecirctre prises pour garantir la seacutecuriteacute des donneacutees personnelles
collecteacutees
La mise en place dune seacutecuriteacute physique et reacuteseau et celle dune seacutecuriteacute logicielle
savegravere neacutecessaire La seacutecuriteacute reacuteseau permettrait de garantir la seacutecuriteacute des personnes
concerneacutees quant agrave la seacutecuriteacute physique elle permettrait de restreindre laccegraves aux donneacutees
Pour ce qui est de la seacutecuriteacute logicielle elle servirait agrave preacutevenir deacuteventuelles failles du systegraveme
du reacuteseau
Dans cette section il sera question drsquoeacutetudier dans un premier temps les mesures
imputables aux compagnies de transport et MTOPO PAYMENT SOLUTIONS BF (Paragraphe
I) et dans un second temps les mesures agrave prendre par les utilisateurs de teacuteleacutephones mobiles et
de smartphones pour seacutecuriser leurs donneacutees agrave caractegravere personnel (Paragraphe II)
181 Idem
81
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO
Les responsables de traitements doivent prendre mesures efficaces afin de proteacuteger des
donneacutees personnes des personnes concerneacutees par le traitement De ce fait nous proposerions agrave
MTOPO et aux compagnies de transport de mettre en place drsquoune part la seacutecuriteacute physique et
reacuteseau(A) et drsquoautre part la neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle(B)
A La mise en place de la seacutecuriteacute physique et reacuteseau
Le responsable du traitement conformeacutement agrave la loi relative agrave la protection des donneacutees
personnelles est tenu de garantir aux donneacutees collecteacutees un niveau de seacutecuriteacute suffisant Il doit
par conseacutequent mettre tous les moyens en œuvre pour parvenir agrave cette fin
La restriction de laccegraves physique aux serveurs et aux locaux des serveurs (1) et la
seacutecurisation de laccegraves au compte pour les internautes (2) sont des solutions envisageables
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs
Il faut dire quil sagira pour le responsable du traitement de veiller agrave ce que les donneacutees
ne soient pas manipuleacutees par un grand nombre de personnes Dans le souci dassurer aux
donneacutees personnelles une certaine seacutecuriteacute laccegraves aux serveurs et aux locaux des serveurs doit
ecirctre restreint
Lrsquoarticle 42 alineacutea premier de la loi ivoirienne relative agrave la protection des donneacutees
personnelles dispose que le responsable du traitement est tenu laquo dempecirccher toute personne
non autoriseacutee dacceacuteder aux installations utiliseacutees pour le traitement de donneacutees raquo Cette
restriction seacutetend jusquaux systegravemes de traitement de donneacutees Lrsquoalineacutea 2 de larticle
susmentionneacute dispose laquo Le responsable du traitement est tenu dempecirccher que des systegravemes
de traitements de donneacutees puissent ecirctre utiliseacutes par des personnes non autoriseacutees agrave laide
dinstallations de transmission de donneacutees raquo
Aux termes de cet article il ressort que lutilisation des systegravemes de traitements nest pas
permise aux personnes non autoriseacutees Ces dispositions ont pour but de garantir la seacutecuriteacute des
donneacutees puisque le but viseacute est deacuteviter toute divulgation ou modification ou tout autre incident
dont les donneacutees pourraient faire lobjet Lobjectif du leacutegislateur est deacuteviter quun grand
nombre de personnes ait accegraves aux donneacutees collecteacutees Les donneacutees eacutetant dune importance
capitale et de nos jours des biens agrave valeur eacuteconomique cest agrave juste titre que leur accegraves doit ecirctre
82
limiteacute pour minimiser les risques drsquoinseacutecuriteacute Le leacutegislateur burkinabegrave doit tirer une leccedilon de
cet article
Apregraves avoir montreacute les restrictions de lrsquoaccegraves physique aux serveurs et aux locaux des
serveurs nous verrons comment seacutecuriser lrsquoaccegraves au compte des membres
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres
La seacutecuriteacute des donneacutees collecteacutees est une obligation qui est agrave la charge du responsable
du traitement Cette obligation de seacutecuriser les donneacutees collecteacutees transparaicirct agrave lrsquoarticle alineacutea
3 qui dispose
laquo Le responsable du traitement est tenu dempecirccher lintroduction non autoriseacutee de toute
donneacutee dans le systegraveme dinformation ainsi que toute prise de connaissance toute modification
ou tout effacements non autoriseacutes de donneacutees enregistreacutees raquo
La seacutecuriteacute des donneacutees collecteacutees est un souci pour le leacutegislateur burkinabeacute puisque
lors de la deacuteclaration dun traitement ou une demande dautorisation le responsable du
traitement doit y mentionner les dispositions prises pour assurer la seacutecuriteacute des traitements la
protection et la confidentialiteacute des donneacutees traiteacutees
A la lecture des articles sus-eacutevoqueacutes il ressort que lobligation de seacutecurisation des
donneacutees collecteacutees est primordiale Cette seacutecuriteacute pour les logiciels passe par ladoption de
mesures de seacutecuriteacute efficaces Ces mesures seacutecuritaires consistent agrave mettre en place des mots
de passe agrave mecircme de garantir la protection des donneacutees contenues sur le laquo compte raquo des
utilisateurs En dautres termes ces mots de passe doivent pouvoir proteacuteger efficacement laccegraves
aux comptes des utilisateurs Compte tenu des progregraves des outils de contournement des mots de
passe (Tables Arc en ciel) et de la rapiditeacute des ordinateurs un bon mot de passe doit
- Avoir une longueur minimale de 14 caractegraveres
- Ecirctre une combinaison de majuscules minuscules chiffres et signes speacuteciaux ou
accentueacutes
- Il ne doit pas ecirctre identique ou proche ou deacuteriveacute de votre identifiant (login - User Name)
- Il ne doit pas ecirctre constitueacute de votre nom etou de votre preacutenom ni de leurs initiales ni
daucun nom (patronyme) etou preacutenom existants dans des dictionnaires de patronymes
et de preacutenoms existants ainsi que des logiciels speacutecialiseacutes pour attaquer toutes les
combinaisons possibles de patronymes preacutenoms
83
Dans le mecircme ordre dideacutees aucun mot figurant dans un dictionnaire (noms
communs ou noms propres ou noms danimaux pays villes reacutegions planegravetes) ne doit ecirctre
utiliseacute
- Il ne doit pas ecirctre constitueacute des mots de passe standards des constructeurs
- Il ne doit pas appartenir agrave des classes dont il est facile de tester linteacutegraliteacute des
possibiliteacutes (plaques dimmatriculation des veacutehicules dates)182
Ainsi pour conserver la confidentialiteacute des donneacutees collecteacutees il est neacutecessaire pour ces
reacuteseaux de renforcer la robustesse des mots de passe des comptes Ces mots de passe ainsi
composeacutes permettront de renforcer la seacutecuriteacute de laccegraves aux donneacutees enregistreacutees par les
membres des reacuteseaux sociaux
La mise en place de la seacutecuriteacute physique nrsquoempecircche pas la mise en place drsquoune seacutecuriteacute
logicielle
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle
La seacutecuriteacute logicielle passe par la configuration des droits daccegraves et dhabilitation des
usagers (1) En outre elle permet de se preacutemunir des failles applicatives (2)
1 La configuration des droits daccegraves et dhabilitation des usagers
Il sagit de filtrer laccegraves aux donneacutees personnelles collecteacutees Ce filtrage se fait par la
mise en place dun dispositif de controcircle daccegraves Il sera donc associeacute agrave chaque usager un
identifiant mneacutemonique ou physique La mise en place dun systegraveme de controcircle accegraves doit aussi
respecter la loi portant protection des donneacutees agrave caractegravere personnel La loi du 20 avril 2004
stipule que toute entreprise qui met en place puis gegravere un fichier automatiseacute de donneacutees
nominatives est tenue de le deacuteclarer183
Il faut noter que la configuration des droits daccegraves et dhabilitation des usagers permet
de restreindre laccegraves aux serveurs des donneacutees et didentifier les personnes qui y ont accegraves
Nous ne nous attarderons pas sur la restriction de laccegraves aux donneacutees mais plutocirct sur la capaciteacute
de ce dispositif agrave identifier les personnes en contact avec les serveurs des donneacutees
182 Assiste Mot de passe Un bon mot de passe disponible sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018) 183 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
84
Conformeacutement aux dispositions de la loi portant protection des donneacutees personnelles
le responsable du traitement est tenu de garantir que puisse ecirctre veacuterifieacutee et constateacutee a posteriori
lidentiteacute des personnes ayant eu accegraves au systegraveme dinformation contenant des donneacutees agrave
caractegravere personnel
Ainsi ce dispositif seacutecuritaire permettrait aux responsables de traitement de remplir
cette obligation Cela participerait par ailleurs agrave une meilleure protection des donneacutees
personnelles de leurs membres Apregraves une configuration des droits drsquoaccegraves et drsquohabilitation des
usagers nous verrons comment preacutevoir les failles applicatives
2 La preacutevention des failles applicatives
Ce besoin reacutepond la loi burkinabeacute relative agrave la protection des donneacutees personnelles qui
dispose que le responsable du traitement est tenu de prendre toute preacutecaution au regard de la
nature des donneacutees et notamment pour empecirccher quelles soient deacuteformeacutees endommageacutees ou
que des tiers non autoriseacutes y aient accegraves
Il ressort ici que le responsable du traitement dans les mesures quil devra mettre en
place pour assurer la seacutecuriteacute des donneacutees personnelles doit prendre certaines preacutecautions Le
traitement effectueacute eacutetant un traitement automatiseacute il doit donc se preacutemunir des failles
applicatives Les failles applicatives sont en reacutealiteacute des vulneacuterabiliteacutes du systegraveme184 Pour
deacutefinir le terme sur le plan informatique il faut dire que cest laquo une faiblesse dans un systegraveme
informatique permettant agrave un attaquant de porter atteinte agrave linteacutegriteacute de ce systegraveme cest-agrave-dire
agrave son fonctionnement normal agrave la confidentialiteacute et linteacutegriteacute des donneacutees quil contient raquo185 Il
est donc neacutecessaire de se preacutemunir de telles failles pour eacuteviter de compromettre la seacutecuriteacute des
donneacutees personnelles collecteacutees
Ces failles qui sont des laquo portes entrouvertes raquo de faccedilon volontaire ou non peuvent faire
lobjet dattaques (les modes opeacuteratoires les actions pirates) Ces attaques deacutependent du but
rechercheacute usurpation (manipulation de session) Introspection (injection SQL code) ou des
failles deacutebordement Formatage des chaicircnes attaque brusque Ces attaques peuvent entrainer
la rupture de la laquo triade DIC raquo ce qui pourrait avoir un impact sur linteacutegriteacute et la confidentialiteacute
des donneacutees collecteacutees Ces attaques peuvent par ailleurs empecirccher la disponibiliteacute des
184 Inecdot interconnexion reacuteseau et logiciel libre disponible laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo (Consulteacute le 19 octobre 2018) 185 Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19 octobre 2018)
85
donneacutees Il est donc neacutecessaire danticiper ces failles degraves la phase de conception de
speacutecification de deacuteveloppement ou de production pour la seacutecuriteacute des donneacutees agrave caractegravere
personnel collecteacutees
Apregraves avoir faire un deacuteveloppement sur les mesures imputables aux compagnies de
transports et MTOPO nous analyserons dans le paragraphe suivant celles imputables aux
utilisateurs
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel
Pour mieux proteacuteger leurs donneacutees personnelles il est judicieux de montrer aux
utilisateurs du teacuteleacutephone mobile les risques et preacutecautions lieacutes agrave la protection de leurs donneacutees
personnelles(A) et la seacutecuriteacute des teacuteleacutephones portables et chiffrement des mails(B)
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles dans
lrsquoutilisation des TIC
Sous cette rubrique nous envisageons drsquoinformer drsquoune part les citoyens sur
lrsquoexistence de risques lieacutes agrave lrsquoutilisation des TIC (1) et drsquoautre part proposer des agrave cet effet des
conseils agrave suivre afin de minimiser les dits risques (2)
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave caractegravere
personnel
Dans les teacuteleacutephones mobiles la conservation des sms envoyeacutes transite sur le serveur SMS
et de ce fait ils sont conserveacutes pendant une peacuteriode plus ou moins longue ce qui peut entrainer
une insuffisance de garantie de confidentialiteacute et drsquointeacutegriteacute des sms186 En outre la
geacuteolocalisation du teacuteleacutephone permet de localiser avec exactitude la position geacuteographique de
son proprieacutetaire ce qui peut entrainer une intrusion dans sa vie priveacutee et une perte de son
intimiteacute187
186 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo (consulteacute le 23052019) 187 Voir laquo httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019)
86
Dans la messagerie eacutelectronique (email) il yrsquoa une insuffisance de seacutecuriteacute en raison du fait que
lrsquoemail ne garantit pas toujours la seacutecuriteacute et la confidentialiteacute des messages envoyeacutes ou reccedilu agrave
partir drsquoun terminal non -seacutecuriseacute
Lrsquoadheacutesion des services de reacuteseaux sociaux (Facebook HI5 Twitter Instagram
WhatsApphellip) peut entrainer une exposition de la vie priveacutee en raison que toute information
donneacutee sur ce canal est souvent deacutemultiplieacutee188 Elle peut eacutegalement entrainer une atteinte au
droit agrave lrsquoimage parce que toutes les photos mises sur ce canal peuvent avoir plusieurs
destinataires et ecirctre utiliseacutees agrave drsquoautres fins agrave votre insu sans votre accord Lrsquoadheacutesion agrave ces
services peut porter une atteinte agrave la reacuteputation parce que toute information ou photo transmise
sur ce canal peut ecirctre utiliseacutee ulteacuterieurement en vue de salir votre reacuteputation189
Les donneacutees personnelles peuvent ecirctre usurpeacutees lorsque vous naviguez sur internet avec des
ordinateurs non seacutecuriseacutes ou lorsque vous installez des logiciels gratuits (freeware) des Peer
to Peer (eMule ares limetier etc) sans preacutecaution
Il yrsquoa eacutegalement le risque de perte de donneacutees qui est le plus souvent causeacute par les virus
informatiques qui peuvent corrompre ou supprimer des donneacutees de votre ordinateur
Apregraves avoir eacutevoqueacute les facteurs de risques lieacutes agrave la protection effective des donneacutees
personnelles nous donnerons des conseils pratiques pour une meilleure protection des donneacutees
personnelles
2 Les conseils et preacutecautions pour une meilleure protection des donneacutees drsquoutilisateurs
agrave caractegravere personnel
Les preacutecautions eacuteleacutementaires agrave prendre pour une utilisation seacutecuriseacutee du courrier
eacutelectronique190
Avant drsquoouvrir un message eacutelectronique ou une piegravece jointe assurez-vous que votre
antivirus est agrave jour
Ne jamais transmettre des donneacutees confidentielles par messagerie eacutelectronique sans
srsquoassurer de la seacutecuriteacute du reacuteseau
Ne jamais reacutepondre aux spams ou courrier eacutelectroniques qui demandent des
renseignements personnels (mot de passe ou information financiegravere)
188 188 Voir laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -personnelles raquo(consulteacute le 23052019) 189 Ce que nous constatons sur les pages Facebook ougrave leurs membres publient les informations personnelles sensibles de leurs amis sans leur consentement Une meilleure sensibilisation doit ecirctre faite pour eacuteviter les ces violations des droits des personnes concerneacutees 190 Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute le 02022019
87
Activer le filtre anti-spam de votre logiciel de courrier eacutelectronique
Pour les transactions en lignes notamment les opeacuterations financiegraveres il faut
Le faire uniquement chez des marchands dignes de confiance pour cela il faut
srsquoassurer que le site web est leacutegitime que lrsquoadresse URL est exacte y compris le nom
de domaine
Srsquoassurer que le marchand se sert drsquoun systegraveme de transaction seacutecuriseacute Pour srsquoassurer
si un site web est seacutecuriseacute srsquoassurer que le URL commence httpsou shttps et qui
apparait lrsquoicocircne drsquoun cadenas verrouilleacute ou drsquoune cleacute intacte
Apregraves avoir effectueacute une opeacuteration financiegravere ou bancaire en ligne il convient de mettre
fin agrave la session vider la meacutemoire cacheacutee et le fichier de teacutemoins (cookies)
Privileacutegier les sites qursquoon a deacutejagrave freacutequenteacute ou des sites recommandeacutes191
Mesure et preacutecautions agrave prendre lorsque vous utilisez les services de reacuteseaux
sociaux192
Bien choisir quelles informations rendre visibles et avec qui les partager
Ne pas accepter nrsquoimporte quelle invitation drsquoinconnu On peut se retrouver en relation
avec drsquoillustres inconnus bien intentionneacute ou mal intentionneacute qui auront accegraves agrave nos
donneacutees nominatives email numeacutero de teacuteleacutephone photos de famille ou drsquoamis
parcours scolaire profession Ces donneacutees personnelles peuvent ecirctre utiliseacutees pour creacuteer
des messages drsquohameccedilonnage deviner votre mot de passe usurper votre identiteacute pour
commettre eacuteventuellement des infractions agrave votre insu
Prendre le soin de configurer preacutealablement les paramegravetres de confidentialiteacute
Srsquoappuyer sur la notorieacuteteacute drsquoun eacutediteur avant drsquointeacutegrer un reacuteseau social
Avant de signer un contrat avec les eacutediteurs des logiciels de gestion ou de ses sous-
traitants lrsquoutilisateur doit193
Srsquoassurer que lrsquoeacutediteur ou lrsquoutilisateur agrave effectuer les formaliteacutes administratives
preacutealables agrave la mise en œuvre des traitements
Srsquoassurer qursquoil a mis en place des mesures organisationnelles et techniques agrave la
protection de leurs donneacutees personnelles
191 Idem 192 Idem 193Les utilisateurs acceptent geacuteneacuteralement les conditions drsquoutilisation des applications sans prendre le soin de les lire attentivement Nous recommandons agrave ces derniers de les lire avant toute signature de contrat
88
Chercher agrave connaitre le niveau de protection de leur donneacutee par les responsables de
traitements
Srsquoassurer du respect de la finaliteacute des traitements des donneacutees
Demander les proceacutedures agrave suivre pour lrsquoexercice de leurs droits
Srsquoassurer que les conditions drsquoutilisation des donneacutees personnelles sont effectives agrave une
meilleure protection de leurs donneacutees Apregraves avoir eacutevoqueacute les risques et preacutecautions agrave
prendre par les utilisateurs nous verrons comment seacutecuriser les smartphones et
chiffrement des mails
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails
Sous cette rubrique nous eacutevoquerons drsquoune part les seacutecurisations contenues dans les teacuteleacutephones
(1) et drsquoautre part le chiffrement des mails (2)
1 Les seacutecurisations contenues dans les teacuteleacutephones portables
Notre teacuteleacutephone portable contient de plus en plus des informations (reacuteseaux sociaux
ouverts) nous concernant En cas de perte ou de vol des informations tregraves personnelles peuvent
ecirctre lues et rendues publiques
Noter le numeacutero laquo IMEI raquo du teacuteleacutephone
Le code IMEI est le numeacutero de seacuterie unique composeacute de 15 agrave 17 chiffres identifiants votre
teacuteleacutephone En cas de perte ou de vol ce code sert agrave bloquer lrsquousage du teacuteleacutephone sur les reacuteseaux
sociaux Il est indiqueacute sur la boite du teacuteleacutephone quand on lrsquoachegravete Notez-le et gardez-le en lieu
sucircr (pas sur le teacuteleacutephone) On obtient le code IMEI en tapant 06 sur votre teacuteleacutephone194
Mettre en place un code PIN (Personnel Identification Numbers)195
Le code est un code secret qui controcircle la carte SIM quand on allume Ce code verrouille le
teacuteleacutephone au bout de 3 codes erroneacutes conseacutecutifs Il empecircche lrsquoutilisation de la carte SIM par
une tierce personne mecircme avec un autre teacuteleacutephone
Mettre en place un code de verrouillage du teacuteleacutephone196
194 Ces informations sont issues de nos connaissances personnelles dans lrsquoutilisation des smartphones 195 Idem 196 Idem
89
En plus du code Pin ce code permet de rendre inactif le teacuteleacutephone au bout drsquoun certain temps
Cela empecircche la consultation des informations contenues dans le teacuteleacutephone en cas de perte ou
de vol
Ne pas accepter systeacutematiquement la geacuteolocalisation197
Certains teacuteleacutephones permettent de situer le lieu ougrave nous sommes Il est possible de controcircler
quand et par qui on peut ecirctre geacuteolocaliseacute Il suffit pour cela de reacutegler les paramegravetres de
geacuteolocalisation du teacuteleacutephone ou des applications de geacuteolocalisation (twitter
Facebook WhatsApp) Il est eacutegalement possible de deacutesactiver ou de suspendre le service de
geacuteolocalisation agrave tout moment et de seacutelectionner les contacts qui sont autoriseacutes agrave acceacuteder aux
donneacutees de localisation
Les seacutecurisations contenues dans les teacuteleacutephones portables nous amegravenent agrave montrer comment
effectuer le chiffrement des mails
2 La cleacute chiffrement de MAIL
Il srsquoagit drsquoun proceacutedeacute utilisant un certificat eacutelectronique personnel auto signeacutee pour
chiffrer ses mails appeleacutes asymeacutetrique198 Cela fonctionne drsquoune part avec une cleacute publique que
vous pouvez communiquer agrave vos correspondants afin qursquoils chiffrent les emails qursquoils vous
envoient Drsquoautre part pour deacutechiffrer les mails reccedilus vous avez besoin drsquoune cleacute priveacutee qursquoil
faut garder secregravete Des logiciels libres tels que OpenGL gpg4win ainsi que les extensions
pour Firefox et chrome (maivelope firepgp) permettent de creacuteer des paires de cleacutes et de faire le
chiffrement des mails sur le web mail
Un meilleur moyen de proteacuteger sa vie priveacutee est de garder pour soi-mecircme autant que
possible les informations personnelles confidentielles
197 Voir laquohttpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le 26062019) 198 Dominique W KABRE Droit des technologies et de la teacuteleacutecommunication op cit P 45
90
CONCLUSION
Lrsquoeffectiviteacute externe de la protection de la vie priveacutee des citoyens peut ecirctre appreacutehendeacutee
dans deux (02) sens Il srsquoagit dans un premier de leur conformiteacute avec la loi portant protection
des donneacutees personnelles Dans un second il faut se poser la question de savoir si les donneacutees
personnelles ne sont pas reacuteutiliseacutees agrave drsquoautres fins sans le consentement des personnes
concerneacutees Crsquoest la probleacutematique de la reacuteutilisation des donneacutees personnelles agrave drsquoautres fins
qui est viseacute dans ce second cas
Au Burkina Faso comme dans la plupart des Eacutetats africains les diffeacuterentes politiques en
matiegravere juridique eacutetaient conccedilues dans le but de proteacuteger la vie priveacutee des personnes physiques
et les donneacutees personnelles des personnes concerneacutees A lrsquoeacutepoque la politique de protection
des donneacutees personnelles nrsquoest pas souhaitable En effet la CIL en tant qursquoautoriteacute indeacutependante
en matiegravere de protection des donneacutees personnelles connait beaucoup de faiblesse laissant
subsister des intrusions agrave la vie priveacutee Crsquoest agrave partir de 2004 que la question de la protection
effective des donneacutees agrave commencer agrave inteacuteresser les Eacutetats drsquoAfrique
Malgreacute la prise en conscience de la protection agrave travers lrsquoadoption des leacutegislations
speacutecifiques en la matiegravere elle nrsquoarrive pas agrave parvenir agrave une meilleure protection des donneacutees
personnelles des personnes concerneacutees par le traitement Par conseacutequent la majoriteacute des
personnes concerneacutees eacuteprouve qursquoelles soient victime des violations de leurs droits par les
responsables des traitements Crsquoest pour cela que nous avons choisi de reacutefleacutechir sur le cas
speacutecifique des voyageurs des compagnies de transport TSR et RAHIMO TRANSPORT
Pour cela nous avons eacutemis un certain nombre drsquohypothegraveses consideacutereacutees comme obstacle agrave la
protection des donneacutees personnelles des voyageurs Nous avons drsquoabord estimeacute que la
principale source de la violation de la vie priveacutee des voyageurs est le deacutetournement de la finaliteacute
degraves traitement des donneacutees personnelles autre que celle pour laquelle elles ont eacuteteacute collecteacutees par
les compagnies de transport En outre nous avons supposeacute que les entreprises qui collectent les
donneacutees agrave caractegravere personnel des voyageurs ne les protegravegent pas efficacement Par ailleurs
nous avons estimeacute qursquoil nrsquoexiste aucune relation entre les diffeacuterentes entreprises dans le but de
la protection des donneacutees agrave caractegravere personnel des voyageurs Enfin les voyageurs ne sont pas
informeacutes de leurs droits agrave la protection des donneacutees collecteacutees par les responsables des
traitements
Ce sont les reacutesultats de nos enquecirctes de terrain qui devaient confirmer ou infirmer ces
hypothegraveses Des questionnaires et des guides drsquoentretiens ont eacuteteacute distribueacutes aux diffeacuterents
acteurs pour recueillir des donneacutees agrave cet effet Lrsquoanalyse de donneacutees recueillies a permis de
proceacuteder agrave la veacuterification de nos diffeacuterentes hypothegraveses En effet 100 des personnes
interrogeacutees disent qursquoelles ne sont pas informeacutees de leurs droits sur la protection de leurs
91
donneacutees personnelles sur le logiciel CONEKTO TRANSPORT Cela se justifie par le fait que
les responsables du traitement et la commission nrsquoinforment pas les personnes concerneacutees de
leurs droits sur la protection de leurs donneacutees personnelles aggravant la reacuteutilisation des
donneacutees personnelles agrave drsquoautres finaliteacutes autre que la finaliteacute initiale sans lrsquoautorisation des
personnes concerneacutees Cette situation vient confirmer notre hypothegravese principale
Les deux premiegraveres hypothegraveses secondaires selon lesquelles les entreprises qui
collectent les donneacutees personnelles des voyageurs ne les protegravegent pas efficacement et qursquoil
nrsquoexiste aucune relation entre les diffeacuterentes entreprises intervenant sur le logiciel CONEKTO
TRANSPORT dans le but de la protection collective des donneacutees agrave caractegravere personnel des
voyageurs ont eacuteteacute confirmeacutees en ce que les enquecirctes ont reacuteveacuteleacute que 100 des intervenants
disent qursquoils nrsquoexistent pas une politique de gestion collective des donneacutees personnelles Ce
chiffre montre que les entreprises drsquointernet ou des responsables du traitement doivent mettre
en place une politique de gestion collective des donneacutees personnelles de leurs membres
La derniegravere hypothegravese a trait agrave la meacuteconnaissance des voyageurs de leurs droits agrave la
protection des donneacutees collecteacutees par les responsables des traitements a eacutegalement eacuteteacute
confirmeacutee Les dirigeants avec qui nous avons eu des entretiens affirment qursquoils nrsquoont pas
informeacute les voyageurs de leurs droits sur la protection de leurs donneacutees personnelles et de la
possibiliteacute de les mettre en œuvre Les personnes concerneacutees meacuteconnaissent lrsquoexistence drsquoune
leacutegislation en matiegravere de protection des donneacutees personnelles Et donc cette hypothegravese est
eacutegalement veacuterifieacutee
Face agrave la protection ineffective des donneacutees personnelles des voyageurs nous avons eu
agrave faire une proposition pour une meilleure protection des donneacutees personnelles des voyageurs
Crsquoest ainsi que nous avons proposeacute une reacuteadaptation de la LPDP et les mesures de
sensibilisation des responsables du traitement des donneacutees personnelles et les personnes
concerneacutees Nous avons ensuite proposeacute des preacutecautions agrave prendre par les utilisateurs des
smartphones tablettes pour une protection de leurs donneacutees personnelles
Cette eacutetude nrsquoa pas pour vocation de faire une analyse exhaustive de la protection des
donneacutees personnelles des voyageurs sur les programmes drsquoordinateurs
92
BIBLIOGRAPHIE
A Ouvrages
- BENSOUSSAN (A) Informatique teacuteleacutecoms et internet 5 eacuted Paris Ed Lefebvre
Francis 2012 1000 p
- DESGENS-PASANAU (G) Protection des donneacutees agrave caractegravere personnel Loi
informatique et liberteacutes 2 eacuted Paris Lexis Nexis 2013 294 p
- FAUCHOUX (V) DEPREZ (P) BRUGUIERE (J-M) Le droit de linternet lois
contrats et usages 2 eacuted Paris LexisNexis 2013 419 p
- CASTETS-RENARD (C) Droit lrsquoInternet droit europeacuteen et franccedilais 2e eacutedit Paris
Montchrestien 2012
- MATTATIA (F) Loi et Internet Un petit guide civique et juridique 1egravere eacuted Paris Ed
EYROLLES 2013 234 p
- RAY (J-E) Le droit du travail agrave leacutepreuve des NTIC 1egravere eacuted Paris Ed Liaisons 2001
247 p
- DOCQUIR (B) FESLER (D) DEHARENG (E) Le Droit des nouvelles Technologies
et de linternet 2 eacuted Paris Ed Bruylant 2012 136 p
- KABRE (DW) Droit des Technologies de lrsquoInformation et de la Communication 1egravere
eacuted Janvier 2017 Burkina Faso 165 p
- MATTATIA (F) Le droit des donneacutees personnelles 2 eacuted Paris Ed EYROLLES 2016
234 p
- MATTATIA (F) Internet et les reacuteseaux sociaux que dit la loi 2 eacuted Paris Ed
EYROLLES 2016 237 p
- LARRIEU (J) Droit de lrsquointernet Ellipses2005
- LE TOURNEAU (Ph) contrats informatiques et eacutelectroniques Paris Dalloz4e
eacutedi2006
B Thegraveses et Meacutemoires
- COULIBALY (I) La protection des donneacutees agrave caractegravere personnel dans le domaine de
la recherche scientifique Thegravese Universiteacute de Grenoble 2011 1117 p
- WALCZAK (N) Protection des donneacutees personnelles sur lrsquointernet France 04 juillet
2014 p1
93
- BEKARA (KD) Protection des donneacutees personnelles coteacute utilisateur dans le e-
commerce thegravese Institut National des Teacuteleacutecommunications France 2012 229 p
- Yaya(MS) Droit de lrsquoOHADA face au commerce eacutelectronique thegravese Universiteacute de
Montreacuteal et Universiteacute de Paris-Sud 11 France 2011 219 p
- KABRE (DW) la conclusion des contrats par voie eacutelectronique eacutetude du droit
burkinabeacute agrave la lumiegravere des droits europeacuteen belge et franccedilais thegravese Faculteacute
universitaires Notre Dame de la Paix (FUNDP) de NAMUR Le harmattan2013
- Boto (MNE) protection des donneacutees personnelles sur les reacuteseaux sociaux cas de la
Cote drsquoIvoire Universiteacute Catholique de lAfrique de lrsquoOuest Abidjan ed2017
- Marie (L) protection des donneacutees agrave caractegravere personnel le consentement agrave leacutepreuve
de legravere numeacuterique Liegravege Universiteacute Library France HAL eacuted2018 49 p
- COUMET (C) Donneacutees personnelles et reacuteseaux sociaux Meacutemoire Universiteacute Paul
Ceacutezanne U III 2008-2009 85 p
- KOUKOUGNON (E) Proposition dadaptation de la loi ndeg 2013-450 du 19 juin
2013 relative agrave la protection des donneacutees agrave caractegravere personnel en Cocircte dIvoire
Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-2015 94 p
- ZAGBA (F) La protection du consommateur numeacuterique en Cocircte dIvoire cas de la
teacuteleacutephonie mobile Meacutemoire Universiteacute Catholique de lAfrique de lOuest 2014-
2015 117 p
C Rapports publics et seacuteminaires
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed200869 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles ed201063 p
- Commission de lrsquoInformatique et Liberteacutes rapport public de la CIL sur la protection des
donneacutees personnelles eacuted201257 p
C Leacutegislation
Textes internationaux
- Deacuteclaration universelle des droits de lrsquohomme du 10 deacutecembre 1948
- Convention de sauvegarde des droits de lrsquoHomme et des liberteacutes fondamentales (CEDH)
signeacutee le 4 novembre 1950 agrave Rome par les Etats membres du Conseil de lrsquoEurope et
entreacutee en vigueur le 3 septembre 1953
94
- lrsquoAssembleacutee geacuteneacuterale des Nations Unies Convention ndeg108 pour la protection des
personnes agrave leacutegard du traitement automatiseacute des donneacutees agrave caractegravere personnel adopteacutee
le 28 janvier 1981 agrave Strasbourg par le Conseil de lEurope
- Reacutesolution 4595 du 14121990 de lrsquoassembleacute geacuteneacuterale ONU
- Convention pour la protection des personnes agrave leacutegard du traitement automatiseacute des
donneacutees agrave caractegravere personnel adopteacute le 28 janvier 1981 par le Conseil de lrsquoEurope
- Convention europeacuteenne de droit de lrsquohomme du 04 novembre 1950
- Regraveglement (UE) 2016679 du Parlement europeacuteen et du Conseil du 27 avril 2016 relatif
agrave la protection des personnes physiques agrave leacutegard du traitement des donneacutees agrave caractegravere
personnel et agrave la libre circulation de ces donneacutees et abrogeant la directive 9546CE
(regraveglement geacuteneacuteral sur la protection des donneacutees) adopteacute le 27 avril 2016 et rentra en
vigueur le 25 mai 2018
- Directive Cdir10811 du 19 Aout 2011 portant lutte contre la cybercriminaliteacute dans
lrsquoespace CEDEAO
- Acte additionnel de la CEDEAO portant protection des donneacutees personnel
- Directive 9546CE du Conseil de lrsquoEurope relative agrave la protection des personnes
physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel et agrave la libre
circulation de ces donneacutees
- Directive 200258CE du Parlement europeacuteen et du Conseil du 12 juillet 2002
concernant le traitement des donneacutees agrave caractegravere personnel et la protection de la vie
priveacutee dans le secteur des communications eacutelectroniques
Leacutegislations nationales
- Loi ndeg010AN du 20 Avril 2004 portant protection des donneacutees personnelles au Burkina
Faso
- Loi ndeg 045-2009an portant regraveglementation des services et des transactions eacutelectroniques
au Burkina Faso jo ndeg01 du 07 janvier 2010
- Loi ndeg032-99AN du 22 deacutecembre 1999 portant protection de la proprieacuteteacute litteacuteraire et
artistique au Burkina Faso
Leacutegislation de droit compareacute
- Loi ndeg2004-801 du 06 aout 2004 relative agrave la protection des personnes physiques agrave
lrsquoeacutegard des traitements des donneacutees agrave caractegravere personnel de la France
- Loi ivoirienne ndeg2013-450 relative agrave la protection des donneacutees agrave caractegravere personnel
95
E Sites internet
- wwwcilbf
- wwwdroit-technologieorg
- wwwarcepbf
- wwwcnilfr
- wwwdonneepersonnellefr
- wwwjuriscomnet
- wwwlegalisnet
D Webographie
- COULIBALY (I) La difficile appreacutehension du droit eacutemergent des NTIC en Cocircte
dIvoire disponible sur laquohttpwwwvillage-justicecomarticlesdifficile-
apprehension-droit18339htmlSALiq0wsldgElWG799 raquo(Consulteacute le 09 deacutecembre
2018)
- DAGNAUD (M) Les jeunes et les reacuteseaux sociaux de la deacuterision agrave la subversion
disponible sur laquo httpslecturesrevuesorg11569 raquo (Consulteacute le 22042019)
- Ligue des droits de lHomme Protection des donneacutees personnelles Analyse compareacutee
des leacutegislations et des pratiques dans neuf pays europeacuteens dans le contexte du cadre
juridique europeacuteen disponible sur laquo httpwwwldh-
franceorgIMGpdfSynthesfrancaisFINALcorr-BDpdf raquo (Consulteacute le 9 deacutecembre
2018)
- Assiste Mot de passe Un bon mot de passe disponible
sur laquo httpassistecomMots_de_passehtml raquo (Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- Inecdot interconnexion reacuteseau et logiciel libre disponible
sur laquo httpswwwinetdocnetguidestutoriel-secututorielsecuritefailleshtml raquo
(Consulteacute le 19 octobre 2018)
- Wikipeacutedia Vulneacuterabiliteacute (informatique) disponible
sur laquo httpsfrwikipediaorgwikiVulnC3A9rabilitC3A9 raquo (Consulteacute le 19
octobre 2018)
- laquo wwwcilbfconseils -pratiques- pour -une- meilleure -protection- des -
personnelles raquo (consulteacute le 23052019)
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019)
- Voir laquo wwwcilbfa-telecharger- guide pdf raquo consulteacute (le 02022019)
96
- httpscnilfrmaitrisez-les-les-reglages-vie-privee-de-votre-smaphone raquo(consulteacute le
26062019 agrave 17 h)
TABLE DES MATIERES
AVERTISSEMENT I
DEDICACE II
REMERCIEMENTS III
LISTE DES SIGLES ABREVIATIONS ET ACRONYMES IV
LISTE DES TABLEAUX VI
SOMMAIRE VII
INTRODUCTION GENERALE 1
PREMIERE PARTIE CADRE THEORIQUE METHODOLOGIQUE ET CONDITIONS
DrsquoUTILISATIONS DES DONNEES A CARACTERE PERSONNEL AU BURKINA FASO
4
Section I Cadre theacuteorique de lrsquoeacutetude5
Paragraphe I La probleacutematique la justification les objectifs et les questions de
recherche5
A La probleacutematique et la justification 5
1 La probleacutematique 5
2 La justification du choix du thegraveme 8
B Les objectifs et les questions de la recherche 9
1 Les objectifs de la recherche 9
a Lrsquoobjectif geacuteneacuteral de la recherche 9
b Les objectifs speacutecifiques 9
2 Les questions de recherche 10
Paragraphe II Lrsquointeacuterecirct les hypothegraveses de recherche et le cadre conceptuel 10
A Lrsquointeacuterecirct et les hypothegraveses de recherche 10
1 Lrsquointeacuterecirct de la recherche 11
2 Les hypothegraveses de recherche 11
a Lrsquohypothegravese principale 11
b Les hypothegraveses secondaires 12
C Le cadre conceptuel 12
Section II Cadre meacutethodologique de lrsquoeacutetude 16
97
Paragraphe I Le champ de lrsquoeacutetude le public cible et lrsquoeacutechantillonnage 16
A Le champ de lrsquoeacutetude 16
1 Bref aperccedilu de MTOPO PAYEMENT SOLUTION BF et la CIL 16
b Bref aperccedilu de la Commission Informatique et Liberteacutes 17
2 Une preacutesentation du TSR 18
B Le public cible et lrsquoeacutechantillonnage 19
1 Le public cible 19
2) Lrsquoeacutechantillon de la recherche 20
Paragraphe 2 La meacutethode les instruments de collecte des donneacutees et les difficulteacutes
limites de la recherche 20
A La meacutethode et les instruments de collecte des donneacutees 21
1 La meacutethode de collecte des donneacutees 21
2 Les instruments de collecte des donneacutees 21
B Les difficulteacutes et les limites de la recherche 22
1 Les difficulteacutes de la recherche 22
2 Les limites de lrsquoeacutetude 23
CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN
DROIT BURKINABE 24
Section I Cadre juridique de la protection des donneacutees agrave caractegravere personnel 24
Paragraphe I Le cadre juridique international 24
A La leacutegislation Europeacuteenne 24
1 Conseil de lrsquoEurope 25
2 Union Europeacuteenne 26
aLes directives relatives agrave la protection des donneacutees agrave caractegravere personnel 27
Directive 9546CE 27
b Le nouveau regraveglement europeacuteen sur la protection des donneacutees agrave caractegravere
personnel 27
B Leacutegislation onusienne et africaine 30
1 La leacutegislation onusienne en matiegravere de protection des donneacutees personnelles 30
2 LrsquoAfrique 32
a Convention de lrsquoUnion Africaine 32
b Lrsquoacte additionnel ASA10110 du 16 feacutevrier 2010 relatif agrave la protection des
donneacutees agrave caractegravere personnel dans lrsquoespace CEDEAO 32
Paragraphe II cadre juridique interne 33
98
A Origine 33
B La preacutesentation de la loi ndeg010-2004AN du 20 avril 2004 34
1 Deacutefinition des concepts cleacutes de la loi 34
2 Le champ drsquoapplication de la LPDP 36
Section II Les conditions de traitement des donneacutees agrave caractegravere personnel 37
Paragraphe I Les principes directeurs drsquoutilisation leacutegitime des donneacutees agrave
caractegravere personnel 37
A Le principe de consentement preacutealable 37
B Principe de loyauteacute et de liceacuteiteacute 39
D Principe de finaliteacute de traitement des donneacutees 40
E Principe de la confidentialiteacute et de seacutecuriteacute 42
Paragraphe II Les droits des personnes concerneacutees et les obligations des
responsables du traitement des donneacutees agrave caractegravere personnel 42
A Les droits des personnes concerneacutees par le traitement 42
1 Droit agrave lrsquoinformation 43
2 Droit drsquoaccegraves 44
3 Droit de rectification 45
4 Droit drsquoopposition 45
B Les obligations du responsable du traitement 47
1 Lrsquoobligation drsquoinformation 47
2 Lrsquoobligation de confidentialiteacute et de seacutecuriteacute des donneacutees 47
3 Lrsquoobligation de notification 49
4 Lrsquoobligation de demander une autorisation de traitement 51
5 Lrsquoobligation de peacuterenniteacute 52
Section II Le controcircle des traitements des donneacutees 52
Paragraphe I Le controcircle a priori de la mise en œuvre des traitements des
donneacutees agrave caractegravere personnel 53
A Les deacuteclarations agrave la CIL 53
B Les demandes drsquoavis et drsquoautorisation 54
Paragraphe II Le controcircle a posteriori de la mise en œuvre des traitements 56
DEUXIEME PARTIE PROTECTION DES DONNEES PERSONNELLES SUR LES
PROGRAMMES DrsquoORDINATEURS AU BURKINA FASO 58
99
CHAPITRE I PRESENTATION INTERPRETATION DES RESULTATS ET
VERIFICATIONS DES HYPOTHESES 59
Section I Preacutesentation et interpreacutetation des reacutesultats de lrsquoenquecircte 59
A La situation des questionnaires recouvreacutes 59
B La situation des entretiens reacutealiseacutes 60
Paragraphe II Preacutesentation deacutetailleacutee des reacutesultats de lrsquoenquecircte 61
B Les relations existantes entre les intervenants dans le cadre de la protection des
donneacutees personnelles 62
C La reacuteutilisation des donneacutees personnelles des voyageurs agrave drsquoautres fins sans le
consentement des voyageurs 63
D Lrsquoabsence drsquoinformation des voyeurs de leur droit agrave la protection des donneacutees
personnelles 64
Section II La veacuterification des hypothegraveses 65
Paragraphe I Veacuterification de lrsquohypothegravese principale 65
Paragraphe II Veacuterification des hypothegraveses secondaires 66
A La protection ineffective des donneacutees drsquoutilisateurs agrave caractegravere personnel 66
B-Absence de relation entre les diffeacuterents intervenants dans la protection des
donneacutees personnelles 68
C Les personnes concerneacutees ne sont pas informeacutees de leur droit sur la protection
des donneacutees personnelles 69
CHAPITRE II DES PROPOSITIONS DES SOLUTIONS POUR AMELIORATION DES
DROITS DES VOYAGEURS ET DrsquoAUTRES PERSONNES CONCERNEES 72
Section I Les reformes leacutegislatives et les mesures de sensibilisation 72
Paragraphe I Les reformes leacutegislatives 72
A-L lsquoextension du champ drsquoapplication de la LPDP 72
BL lsquoextension du pouvoir de controcircle et de sanction de la commission 74
Paragraphe II La sensibilisation des diffeacuterents acteurs agrave la protection des donneacutees
personnelles et les personnes concerneacutees 76
A La sensibilisation des responsables de traitement sur leurs devoirs 76
B La sensibilisation des personnes concerneacutees 77
1 Les sensibilisations sur leurs droit et devoirs 77
2-La sensibilisation des personnes sur les risques lieacutes agrave la mise agrave disposition de
leurs donneacutees personnelles 79
100
Section II Les mesures agrave prendre par les utilisateurs de teacuteleacutephone mobile et par les
responsables des traitements pour seacutecuriser les donneacutees agrave caractegravere personnel 80
Paragraphe I Les mesures imputables aux compagnies de transport et MTOPO 81
A La mise en place de la seacutecuriteacute physique et reacuteseau 81
1 La restriction de laccegraves physique aux serveurs et aux locaux des serveurs 81
2 La seacutecurisation de laccegraves aux laquo comptes raquo des membres 82
B La neacutecessiteacute de preacutevoir une seacutecuriteacute logicielle 83
1 La configuration des droits daccegraves et dhabilitation des usagers 83
2 La preacutevention des failles applicatives 84
Paragraphe II Les mesures agrave prendre par les utilisateurs du teacuteleacutephone mobile pour
seacutecuriser leurs donneacutees agrave caractegravere personnel 85
A Les Risques et les preacutecautions lieacutees agrave la protection des donneacutees personnelles
dans lrsquoutilisation des TIC 85
1 Les facteurs de risques lieacutes agrave la protection effective des donneacutees agrave
caractegravere personnel 85
2 Les conseils et preacutecautions pour une meilleure protection drsquoutilisateurs agrave
caractegravere personnel 86
B La seacutecuriteacute des teacuteleacutephones portables et le chiffrement des mails 88
1 Les seacutecurisations contenues dans les teacuteleacutephones portables 88
2 La cleacute chiffrement de MAIL 89
CONCLUSION 90
BIBLIOGRAPHIE 92
ANNEXES XCIII
X
Annexe 1 Questionnaires et guides drsquoentretien
QUESTIONNAIRES 1
A lrsquointention des voyageurs des compagnies de Rahimo Transport nous sollicitons des
renseignements ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES
Nous avons opteacute de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel
sur les programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions
TSR et Rahimo Transport
Nous vous remercions pour votre contribution
ANNEXES
XI
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
hellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre
le terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
XII
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
XIII
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XIV
Annexe 2 Questionnaires 2
A lrsquointention des voyageurs des compagnies du TSR nous sollicitons des renseignements ci-
dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de
reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes
drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo
Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Age Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Motivation du choix du TSR
Question1 vous avez choisi TSR en raison de
Seacutecuriteacute lors du voyage respect des heures protection de votre vie
priveacute efficaciteacute dans la protection de vos donneacutees personnelles
rapiditeacute lors du voyage
Autres (agrave preacuteciser)
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 connaissez-vous le niveau de protection de vos donneacutees personnelles
Oui non
Justifiez votre
reponsehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphellip
III Donneacutees personnelles
XV
Question 1 Quelles sont vos donneacutees collecteacutees lors du paiement des tickets de voyage
Nom preacutenom(s) numeacutero du teacuteleacutephone email
Si autre preacutecisehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 2 selon vous en quoi la collecte de ces donneacutees vous parait important
Eviteacute la perte des tickets seacutecuriteacute dans le transport lutte contre le
terrorisme
si autre
precisezhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question 3 par quel moyen vos donneacutees sont- elles collecteacutees
Ordinateurs tablettes autres
Si autres preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4 Avez-vous une ideacutee sur la protection des donneacutees personnelles
Oui non
Si oui
laquelle
IV moyen mis agrave la disposition des voyageurs dans le cadre de la Protection des donneacutees agrave
caractegravere personnel
Question 1 savez-vous qursquoil existe une leacutegislation en matiegravere de protection de vos donneacutees
personnelles au Burkina Faso
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphellip
Question 2 avez-vous deacutejagrave entendu parler drsquoune institution en matiegravere de protection des
traitements au Burkina Faso
XVI
Oui non
Si oui
laquellehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question3-Etes-vous deacutejagrave eacuteteacute informeacutes de vos droits sur la protection de vos donneacutees agrave
caractegravere personnel
Oui non
Si oui par quel moyen et par
quihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui lesquels des droits connaissez-vous
Droit drsquoopposition droit de rectification droit drsquoaccegraves droit
drsquoinformation
Si autre
preacuteciserhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Question4-Etes-vous sucircr que lrsquoexercice de ces droits vous permettes de proteacuteger efficacement
vos donneacutees personnelles
Oui non
Sinon quelles sont vos suggestions pour assurer une meilleure protection des donneacutees
personnelles au Burkina Faso
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellipMerci pour votre contribution
XVII
GUIDES DrsquoENTRETIEN
Annexe 3 Guide drsquoentretien 1
A lrsquoadresse du Directeur du RAHIMO TRANSPORT Nous vous sollicitons les informations
ci-dessous dans le cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute
de reacutefleacutechir sur le thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les
programmes drsquoordinateurs au Burkina Faso cas de MTOPO Payment Solutions TSR et
Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphellip
XVIII
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
XIX
Annexe 4 Guide drsquoentretien 2
A lrsquoadresse du Directeur du TSR Nous vous sollicitons les informations ci-dessous dans le
cadre de nos recherches de fin de cycle agrave lrsquoESCO-IGES Nous avons opteacute de reacutefleacutechir sur le
thegraveme laquo Protection des donneacutees agrave caractegravere personnel sur les programmes drsquoordinateurs
au Burkina Faso cas de MTOPO Payment Solutions TSR et Rahimo Transport
Nous vous remercions pour votre contribution
IIDENTIFICATION DE LrsquoENQUETTE
Nomhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Preacutenom(s)helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Agehelliphelliphellip Sexehelliphelliphelliphelliphelliphelliphelliphelliphelliphellipprofessionhelliphelliphelliphelliphelliphelliphelliphellip
II Finaliteacute des traitements des donneacutees agrave caractegravere
Question 1 Quelles sont les finaliteacutes de traitement des donneacutees de vos clients
Vente des tickets reacuteservations tickets gestion des colis autres
Question 2 Avez-vous preacutevu drsquoautres finaliteacutes dans le traitement des donneacutees de vos clients
Oui non
Si oui
lesquelleshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphellip
Avant la reacuteutilisation des donneacutees avez-vous reccedilu le consentement de vos clients
Oui non
II Information des clients
Avez-vous informeacute aux clients leurs droits sur la protection des donneacutees personnelles
Oui non
XX
Si oui
lesquelshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Si oui par quel
moyenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
II Mesures organisationnelles et techniques mise en place dans le cadre de la protection
de donneacutees personnelles des clients
Question1 Quelles politiques avez-vous mis en place dans le cadre de protection des donneacutees
Politique de seacutecuriteacute eacutelaboration des identifiants aucun
Question 2 Avez-vous une politique de protection des donneacutees personnelles avec drsquoautre
partenaire
Oui non
Si oui preacuteciser la
politiquehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Quelles suggestions faites-vous pour une meilleure protection des donneacutees personnelles au
Burkina
Fasohelliphelliphelliphelliphelliphellip helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip
Merci pour votre participation
