Traitement de données personnelles : entre consentement et obligation légale
S’il y a un sujet qui, presque chaque jour refait surface, c’est celui des données personnelles. Le fait qu’il soit intrinsèquement lié à l’économie numérique justifie l’intérêt que les acteurs (utilisateurs et entreprises) ont pour cette question. Pour la protection des citoyens et la sécurité juridique des acteurs économiques l’usage de ces données est encadré par un certains nombres de texte dont nous allons passer en revue quelques articles.
Un traitement de données personnelles, quel que soit le secteur d’activité n’est licite que si l’une des conditions ci-dessous est remplie :
La personne concernée, a donné son consentement au traitement de ses données pour une ou des finalités spécifiques ;
Le traitement est nécessaire à l’exécution d’un contrat auquel elle est partie, ou à l’exécution de mesures précontractuelles prises à sa demande ;
Le traitement est nécessaire à la sauvegarde de ses intérêts vitaux ou d’une autre personne physique ;
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
Le traitement peut aussi être nécessaire au respect d’une obligation légale, laquelle oblige le responsable de traitement à demander certaines informations.
Dans tous les textes qui abordent la question du traitement de données personnelles dans un secteur, il est prévu un article qui renvoi vers la loi sur les données à caractère personnelles (2008–12 du 25 janvier 2008). Cette loi qui date de 2008 pose les conditions et garantie les droits des personnes concernées, elle fixe aussi des obligations aux entreprises et organismes qui traitent ces données pour le respect de la vie privée des personnes concernées.
Le consentement et l’obligation légale
Avant l’identification de quelques articles comme base légale de traitement dans certains secteurs, nous allons parler du consentement.
Il s’agit de l’acte par lequel vous acceptez de communiquer vos informations personnelles pour un traitement. Ce traitement comprend : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.
Le consentement c’est toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel, accepte que ses données à caractère personnel fassent l’objet d’un traitement manuel ou électronique. Il ne doit pas être le résultat de manipulation déloyale comme font ces politiciens qui,craignant de ne pas réunir le nombre de parrains, font croire aux populations qu’ils offrent des bons d’achat pour la Korité ou de l’aide pour le Ngalakh de Pâques.
Le consentement est tellement important que dans le cadre de l’assouplissement des conditions d’ouverture de compte de monnaie électronique sur la base du numéro de téléphone, la BCEAO a repréciser son importance. (Avis N°004–03–2020). Au Sénégal nous avons l’article 33 de la loi 2008 sur les données personnelles qui pose l’exigence du consentement pour le traitement des données en dehors des exceptions évoquées ci-dessus.
Dans le code des télécommunications, le consentement occupe une place importante. C’est en son article 196 que nous pouvons lire : Quiconque fait de la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir ladite prospection en violation des dispositions sur les transactions électroniques est puni des peines ci-après ( 6 mois à 2 ans) de prison et / ou (250.000 à 1.000.000) d’amendes.
Le consentement préalable signifie que vous devez avoir le OK de la personne concernée, documenter ce OK, et passer à la CDP avant de faire la prospection. Comment y arriver ? Vous organisez une journée porte ouverte afin de présenter ou produit ou service, naturellement vous aurez des personnes qui seront intéressées, vous pouvez collecter leurs données en déclinant les finalités avec leur consentement. Au-delà des services de communication, les opérateurs peuvent, sur la base d’analyse des données technique, offrir des services à valeur ajouté, mais pas sans le consentement préalable, donné expressément art 40.3 Telco. C’est pourquoi, la pratique visant à envoyer un mail ou sms pour un nouveau service et vous donne après la possibilité de dire STOP n’est pas pertinente et est illégale. Cette pratique est cependant importante dans la mesure où la personne qui donne son consentement peut toujours dire STOP.
Nous avons l’obligation légale comme base de traitement quand le responsable se base sur un texte de loi. C’est ainsi que Le code des communications électroniques du Sénégal en son article 36, oblige tout opérateur de procéder à l’identification de tous les utilisateurs de leurs services au moment de la souscription et de conserver les données de nature à permettre leur identification. C’est ce qui permet aux autorités judiciaires de requérir la communication des données en cas de besoin.
Dans le cadre des transactions électroniques, la loi 2008–08 du 25 janvier oblige les personnes physiques ou morales qui assurent, même à titre gratuit, la mise à disposition au public de biens ou service par le biais des TIC, de détenir et de conserver les données afin de permettre l’identification de ceux qui auront participé à la création de contenu. Avec cette obligation, les autorités judiciaires pourront mener des enquêtes en ce qui concerne des injures publiques sur internet, dans un site internet ou sur un profil public de facebook ou twitter
L’obligation d’identifier les titulaires de compte mobile money a pour siège l’article 27 de l’instruction N°008–05–2015 régissant les conditions et modalités d’exercice des activités des émetteurs de monnaie électronique dans les états membres de l’union monétaire ouest africaine (UMOA). L’établissement émetteur est tenu d’identifier ses clients, sur présentation d’un document officiel en cours de validité, avant l’ouverture d’un compte de monnaie électronique. L’établissement est aussi dans l’obligation de conserver une copie du document d’identification produit lors de l’ouverture du compte. En général, le code des télécommunications et l’avis précité font des renvois à la loi sur les données personnelles en ce qui concerne la manière dont les responsables devraient mettre en œuvre les traitements (art 37 Telco et 28 pour l’avis).
Les tribunaux nigérians ont eu l’occasion de se prononcer sur l’envoi de SMS non sollicités comme une violation du droit fondamental à la vie privée dans la décision Emerging Market Telecommunications Services Ltd v Eneye (2018) LPELR — 46193(CA)
En date du 16 mars 2022, dans une affaire d’emails non sollicités provenant d’une banque auprès de laquelle la plaignante n’avait pas de compte, la Haute Cour d’Ogun siégeant à Ota a statué que l’envoi de mail non sollicités constitue une violation du droit à la vie privée garanti par la section 37 de la Constitution de la République fédérale du Nigeria, 1999.
Dans un autre cas, affaire N° HCT/605/2021 entre Omotola Quadri et Zenith Bank, la banque a été poursuivie pour avoir envoyé des notifications de transactions d’un autre client pendant plus de six mois sans interruption. Après une demande d’accès aux données personnelles à laquelle la banque a répondu, cette dernière précise que l’adresse électronique de la plaignante avait été fournie par elle au cours du processus d’ouverture du compte, mais sans preuve convaincante. Ici, comprenez qu’il faut toujours documenter le consentement, on parle de consentement donné expressément.
Lorsque les courriels non sollicités se sont poursuivis sans relâche, la Haute Cour a été saisie pour statuer sur l’atteinte au droit à la vie privée du requérant et en faisant valoir, entre autres, que la banque Zenith, en tant que responsable du traitement, avait le devoir de s’assurer qu’elle mettait périodiquement à jour les informations personnelles de ses clients conformément au principe d’exactitude de la protection des données. Ce principe exige du responsable de traitement, d’enlever d’une base de prospection ceux qui ont exercé leur droit d’opposition.
Dans l’ensemble, le tribunal a jugé que les courriels non sollicités de la banque ont violé le droit à la vie privée, ce qui a donné droit à des dommages-intérêts évalués à N500, 000 (cinq cent mille Naira)
Avoir une base légale, ou un consentement n’est que la première étape dans le traitement des données personnelles. Il faut aussi prouver sa conformité par le respect d’autres obligations que nous allons aborder dans les prochains articles. Le choix porté sur la jurisprudence nigériane se justifie par la ressemblance des dispositions légales, ce qui pourrait emmener nos juges à produire des décisions dans le même sens. Par ailleurs la CDP a déjà pris des sanctions administratives concernant le non-respect du consentement.
C’est votre droit, d’exiger un autre article dans 7 jours, au-delà, interpelez moi sur twitter @EmmanuelDiokh, ou envoyez un mail à l’adresse ci-après ( plucker_yourselfs@aleeas.com). Partagez pour aider un jeune entrepreneur c’est possible aussi de bénéficier d’une formation ou d’un accompagnement.