Retour au site principal

    Protection des données

    Module 4 : Vie privée et protection des données

    Les lois sur la protection des données visent à protéger et à sauvegarder le traitement des informations personnelles (ou des données à caractère personnel). Il s’agit de toute information concernant une personne physique identifiée ou identifiable (à savoir la personne concernée) qui permet d’identifier cette personne, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Un gestionnaire de données, qui peut être un organisme public ou privé, désigne la personne ou l’entité responsable du traitement des informations personnelles concernant la personne concernée.

    La protection des données est l’une des principales mesures par lesquelles le droit à la vie privée est mis en œuvre. Un certain nombre d’États africains ont déjà promulgué des lois sur la protection des données, et d’autres sont en train de le faire.(1) En plus de donner effet au droit à la vie privée, la législation sur la protection des données a également un rôle clé à jouer pour faciliter le commerce entre les États, car de nombreuses lois sur la protection des données limitent les transferts transfrontaliers de données dans les cas où l’État qui reçoit les informations n’assure pas un niveau de protection des données adéquat.

    En ce qui concerne la protection des données à caractère personnel, l’Observation générale n° 16 sur l’article 17 du PIDCP (Observation générale n° 16) prévoit ce qui suit :

    La collecte et la conservation d’informations personnelles sur des ordinateurs, des banques de données et d’autres dispositifs, qu’elles soient le fait d’autorités publiques ou de personnes ou d’organismes privés, doivent être réglementées par la loi. Des mesures efficaces doivent être prises par les États pour garantir que les informations concernant la vie privée d’une personne ne parviennent pas entre les mains de personnes qui ne sont pas autorisées par la loi à les recevoir, les traiter et les utiliser, et qu’elles ne soient jamais utilisées à des fins incompatibles avec le Pacte. Afin de bénéficier de la protection la plus efficace de sa vie privée, toute personne devrait avoir le droit de savoir, sous une forme intelligible, si des données à caractère personnel sont stockées dans des fichiers automatisés, et dans l’affirmative, lesquelles, et à quelles fins. Chaque personne devrait également pouvoir savoir quelles autorités publiques ou quels particuliers ou organismes privés contrôlent ou peuvent contrôler ses dossiers. Si ces dossiers contiennent des données à caractère personnel incorrectes ou ont été collectés ou traités contrairement aux dispositions de la loi, toute personne devrait avoir le droit de demander leur rectification ou leur suppression.

    La plupart des lois sur la protection des données prévoient généralement les principes suivants : (2)

    • Les informations personnelles doivent être traitées de manière loyale et licite, et ne doivent pas être traitées si les conditions stipulées ne sont pas remplies.
    • Les informations personnelles doivent être obtenues dans un but (ou des buts) précis et ne doivent pas être traitées ultérieurement de manière incompatible avec ce but.
    • Les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard de la (ou des) finalité(s) pour laquelle (lesquelles) elles sont traitées.
    • Les informations personnelles doivent être exactes et, le cas échéant, mises à jour.
    • Les informations personnelles ne doivent pas être conservées plus longtemps qu’il n’est nécessaire pour les besoins de la collecte.
    • Les informations personnelles doivent être traitées conformément aux droits des personnes concernées prévus par la loi sur la protection des données.
    • Des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illicite de données à caractère personnel et contre la perte, la destruction ou la détérioration accidentelle de données à caractère personnel.
    • Les données à caractère personnel ne doivent pas être transférées vers un autre pays qui n’assure pas un niveau de protection adéquat des droits et libertés des personnes concernées en ce qui concerne le traitement des informations à caractère personnel.

    Il existe un certain nombre d’instruments régionaux africains qui traitent de la protection des données :

    • Convention de l’UA sur la cyber-sécurité et la protection des données à caractère personnelle de 2014(3) (Convention de l’UA ou « Convention de Malabo ») : Cet instrument, qui vise un niveau continental, comprend des dispositions relatives à la protection des données, aux transactions électroniques, à la cybercriminalité et à la cybersécurité. Les dispositions relatives à la protection des données sont contenues dans le chapitre II, et contiennent les conditions du traitement licite des informations personnelles, ainsi que les droits accordés aux personnes concernées. Bien qu’il ne soit pas encore entré en vigueur, il pourrait à l’avenir être un instrument juridique contraignant sur la protection des données en Afrique.
    • Projet de cadre juridique de la CAE pour les cyberlégislations de 2008 (Cadre juridique de la CAE) : Cet instrument couvre des sujets relatifs à la protection des données, au commerce électronique, à la sécurité des données et à la protection des consommateurs. Il n’est pas destiné à être une loi type, mais fournit plutôt des orientations et des recommandations aux États pour les aider à élaborer leurs lois en connaissance de cause. La protection des données est traitée brièvement au paragraphe 2.5 du cadre juridique de la CAE.
    • Acte additionnel sur la protection des données à caractère personnel au sein de la CEDEAO 2010 (Acte additionnel de la CEDEAO) : Cet instrument est conçu pour être directement transposé dans un contexte national et, à l’instar de la Convention de l’UA, il prévoit en détail les conditions de traitement licite des informations à caractère personnel et les droits des personnes concernées.
    • Loi type de la SADC pour la protection des données de 2013 (Loi type de la SADC) : Cet instrument est une loi type qui peut être utilisée dans un contexte national par les États membres. Elle cherche à assurer l’harmonisation des politiques en matière de technologies de l’information et des communications (TIC) et reconnaît que les développements des TIC ont un impact sur les droits et la protection des données à caractère personnel, y compris dans les activités gouvernementales et commerciales. Outre la définition des conditions de traitement licite des informations personnelles et des droits des personnes concernées, elle traite également de la dénonciation, en prévoyant que l’autorité chargée de la protection des données doit établir des règles autorisant et régissant le système de dénonciation qui préservent les principes de protection des données, notamment les principes d’équité, de licéité, de finalité, de proportionnalité et d’ouverture.

    En plus de donner effet au droit à la vie privée, les lois sur la protection des données facilitent généralement le droit d’accès à l’information. À cet égard, la plupart des lois sur la protection des données prévoient que les personnes concernées peuvent demander et obtenir l’accès aux informations détenues à leur sujet par un responsable du traitement. Ce mécanisme peut permettre aux personnes concernées de vérifier si leurs informations personnelles sont traitées conformément aux lois applicables en matière de protection des données, et si leurs droits sont effectivement respectés.

    Notes de bas de page

    1. À l’heure actuelle, 21 États de l’Union africaine (UA) ont promulgué des lois complètes sur la protection de la vie privée : Afrique du Sud, Angola, Bénin, Burkina Faso, Cap-Vert, Côte d’Ivoire, Égypte, Gabon, Ghana, Guinée équatoriale, Kenya, Lesotho, Madagascar, Mali, Maroc, Maurice, Sénégal, Seychelles, Tchad, République togolaise et Tunisie. Quatre autres États ont indiqué qu’ils étaient sur le point d’adopter une législation : Niger, Tanzanie, Ouganda et Zimbabwe.  Voir https://dataprotection.africa/ pour plus d’informations. Retour
    2. Information Commissioner’s Office, « Data protection principles » (accessible sur : https://ico.org.uk/for-organisations/guide-to-data-protection/data-protection-principles/). Retour
    3. Accessible sur : https://au.int/sites/default/files/treaties/29560-treaty-0048_-_african_union_convention_on_cyber_security_and_personal_data_protection_f.pdf. À l’heure actuelle, elle a été ratifiée par un État et signée par dix autres États. Retour