Les formalités préalables auprès de la Commission de l’Informatique et des Libertés au Burkina Faso

Par Arnaud Nadinga 

 

Malgré les critiques faites au régime des formalités préalables[1] et le virage amorcé dans certaines régions du monde vers une approche plutôt « compliance »[2] en droit des données personnelles, en Afrique de l’Ouest, les traitements de ces données restent majoritairement[3] soumis à ce régime. L’autorité de contrôle demeure l’acteur central de la régulation des traitements sur lesquels, elle exerce un contrôle préalable rendu possible par ces formalités. C’est le cas au Burkina Faso avec de la loi du 30 mars 2021. Certes, l’article 23 de la loi dispose que « les données à caractère personnel sont traitées dans le respect de tous les principes et droits posés par la […] loi », mais cela n’est que la conséquence du caractère obligatoire du droit des données. En réalité, à l’exception de l’obligation qui est faite au responsable du traitement, aux termes de l’article 10 de la loi de « mettre en œuvre toutes mesures techniques et organisationnelles appropriées afin de préserver la sécurité et la confidentialité des données », il n’existe pas, dans la loi burkinabè, un principe général de responsabilité imposant au responsable de traitement de mettre en œuvre, de façon proactive, des mécanismes et procédures internes appropriées pour assurer et démontrer lui-même sa conformité au droit des données (accountability). La loi n’en comporte du reste ni les modalités d’expression (notamment la protection des données dès la conception et par défaut ou la notification des violations de données) ni les instruments[4] (la désignation d’un DPD[5], la tenue d’un registre des traitements, la réalisation d’une étude d’impact, les codes de conduite et certifications…). Le principal outil de conformité imposé aux responsables de traitements demeure la réalisation des formalités préalables. Celle-ci, quoiqu’elle n’exonère le responsable du traitement d’aucune de ses responsabilités[6], est censée permettre à l’autorité de protection (la CIL) d’exercer sa mission de contrôle ex ante sur les traitements et offrir aux personnes concernées une certaine transparence sur les usages de leurs données. Ces formalités sont obligatoires pour tous les traitements, à l’exception de celles de l’article 28 de la loi. Il s’agit notamment des traitements qui ont pour seule finalité la conservation des documents d’archives, ceux mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux (églises, mosquées…), philosophique, politique ou syndical, dès lors que ces traitements correspondent à l’objet de cette association ou de cet organisme, qu’elles ne concernent que leurs membres et qu’elles ne sont pas communiquées à des tiers sans le consentement des personnes concernées. En plus de ces deux exceptions, il est permis à l’autorité de protection de compléter par décision la liste des traitements susceptibles d’exemption à la condition qu’ils se limitent aux traitements qui ne sont pas susceptibles de comporter des risques pour les libertés et droits fondamentaux des personnes concernées (art. 28, al. 2 de la loi). L’absence de réalisation des formalités rend le traitement illégal. Elle est sanctionnée d’une amende administrative allant de cinq (5) à vingt (20) millions de francs CFA (art. 68 de la loi du 30 mars 2021) et constitue un délit puni d’un emprisonnement de trois (3) mois à cinq (5) ans et d’une amende de 500 000 à 2 000 000 de francs CFA (art. 712-4 du Code pénal). Aux termes de l’article 26 de la loi du 30 mars 2021, la mise en œuvre des traitements de données à caractère personnel est soumise à 4 formalités alternatives selon la nature du traitement (ou des données) et la qualité du responsable du traitement : la demande d’avis, la demande d’autorisation, la déclaration normale et la déclaration simplifiée. Ces formalités peuvent être regroupées essentiellement en trois : la déclaration (I), la demande d’autorisation (II) et la demande d’avis (III).

I.- La déclaration

C’est le régime de droit commun. Il ne s’applique que lorsqu’il n’existe aucun régime particulier[7]. Cette formalité concerne les traitements dont l’ingérence sur les droits et libertés des personnes est limitée. La déclaration est dite normale (B) ou simplifiée (A) selon les cas.

A.- La déclaration simplifiée

La déclaration simplifiée est prévue à l’article 33 de la loi du 30 mars 2021 pour les catégories les plus courantes de traitements de données dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés des personnes concernées. Cette disposition met à la charge de la CIL la mission d’établir et de publier une liste des normes qui sont destinées à simplifier l’obligation de déclaration. Nous n’avons pas connaissance de l’existence d’une telle liste à ce jour. La CIL doit également préciser le format et le contenu[8] de la déclaration simplifiée. Lorsqu’une déclaration de traitement est faite sous ce régime, et sauf décision particulière de la CIL, le récépissé de déclaration doit être délivré sans délai au responsable du traitement. Dès réception de ce récépissé, il peut mettre en œuvre le traitement. Le dernier alinéa de la disposition précise que le régime de déclaration simplifiée n’exonère pas le responsable du traitement de ses responsabilités telles qu’elles ressortent de la loi. 

B.- La déclaration normale

La déclaration normale concerne les traitements qui ne bénéficient pas du régime simplifié ; ce qui implique l’exclusion de toutes les facilités qu’offre la déclaration simplifiée. L’article 32 de la loi du 30 mars 2021 prévoit que le contenu et le format de la déclaration normale sont adoptés par la CIL. Pour ce qui est d’abord du contenu de la déclaration, qu’elle soit normale ou simplifiée, elle doit préciser selon l’article 32 du décret n° 2022-0514/PRES-TRANS/PM/MJDHRI/MEFP du 18 juillet 2022 portant modalités d’application de la loi du 30 mars 2021 : l’identité et l’adresse du responsable du traitement ou s’il n’est pas établi au Burkina Faso, celles de son représentant dûment mandaté, la ou les finalités du traitement ainsi que la description générale de ses fonctions, les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements, la nature des données à caractère personnel traitées, leur origine et les catégories de personnes concernées, la durée de conservation des données, le ou les services chargés de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées, les destinataires habilités à recevoir communication des données, la personne désignée comme délégué à la protection des données à caractère personnel le cas échéant, la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès, les dispositions générales prises pour assurer la sécurité des traitements des données, l’indication du recours à un sous-traitant s’il y a lieu et les transferts envisagés à l’étranger de données à caractère personnel. Ces informations permettront à la CIL de vérifier que le traitement est conforme à la loi et qu’il ne comporte pas d’atteinte injustifiée ou disproportionnée aux droits et libertés des personnes concernées. S’agissant du format, il faut préciser que depuis décembre 2023, la CIL a publié sur son site web trois (3) formulaires téléchargeables concernant la déclaration des traitements : un formulaire de déclaration normale[9], un formulaire de déclaration de collecte de données sur un site internet[10] et un formulaire de déclaration de système de vidéosurveillance[11]. Pour ce qui est enfin de la procédure, la déclaration doit être adressée directement au Président de la CIL par voie administrative, électronique ou postale (art. 34 du décret d’application). Elle doit contenir le formulaire renseigné et tout autre document relatif aux fonctions, architecture et mesures de sécurité du traitement (art. 33, al. 1 du décret d’application).

II.- La demande d’autorisation

Cette formalité concerne une catégorie particulière de traitements (A) alors que la procédure, elle est presque identique à celle de la déclaration (B).

A.- Les traitements concernés

L’exigence d’autorisation est prévue pour les traitements qui comportent un risque important d’atteinte aux droits et libertés fondamentaux des personnes concernées. Ce formalisme est prévu à l’article 31 de la loi du 30 mars 2021. Il concerne, les traitements portant sur des données génétiques ou biométriques dans le secteur privé et sur la recherche dans le domaine de la santé, les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté dans le secteur privé, les traitements ayant pour objet une interconnexion de fichiers dans le secteur public ou privé, les traitements portant sur un numéro national d’identification ou tout autre identifiant de la même nature dans le secteur public ou privé, les traitements ayant un motif d’intérêt public, notamment ceux destinés à des fins historiques, statistiques ou scientifiques, les traitements d’aide à la décision administrative ou privée, impliquant une appréciation sur un comportement humain, donnant une définition du profil ou de la personnalité de l’intéressé ou reposant sur des techniques d’intelligence artificielle à des fins prédictives et les transferts de données vers un pays étranger. Il faut y ajouter le traitement des données sensibles, c’est-à-dire celles qui révèlent les convictions ou activités religieuses, philosophiques, politiques, syndicales, ethniques, la vie sexuelle, la race, la santé et les mœurs, les données génétiques ou biométriques, les mesures d’ordre social, les poursuites, les sanctions pénales ou administratives, pour lesquelles l’article 30, alinéa 3 de la loi du 30 mars 2021 se contente de préciser que lorsque leur traitement est opéré pour le compte de l’État, d’un établissement public, d’une collectivité territoriale ou d’une personne morale de droit privé gérant un service public, la CIL peut décider de les soumettre au régime d’autorisation.

B.- La procédure

La demande d’autorisation est également adressée directement au Président de la CIL par voie administrative, électronique ou postale. Elle doit contenir les mêmes informations prévues à l’article 32 du décret d’application de la loi du 30 mars 2021. Le dossier doit comprendre le formulaire renseigné de demande d’autorisation publié dans le site web de la CIL[12] et tout autre document relatif aux fonctions, architecture et mesures de sécurité du traitement[13]. À compter de sa saisine pour une autorisation de traitement, la CIL est tenue de se prononcer dans un délai de deux (2) mois. Ce délai peut être renouvelé une fois en raison de la complexité du dossier. Il peut également être suspendu en cas de demande d’information ou de document complémentaires pour l’instruction du dossier. Dans ce cas, la suspension court jusqu’à la communication de ladite information ou dudit document[14]. Ensuite, après l’accomplissement des formalités préalables, dont la demande d’autorisation, le responsable du traitement doit informer la CIL de toute modification des informations exigées par l’article 32 du décret d’application. Cette information doit intervenir dans un délai de huit (8) jours ouvrables à compter de la modification (art. 45 du décret d’application).

III. La demande d’avis

La demande d’avis concerne, au sens de l’article 30 de la loi du 30 mars 2021, les traitements de données à caractère personnel opérés pour le compte de l’État, d’un établissement public, d’une collectivité territoriale ou d’une personne morale de droit privé gérant un service public. Ces traitements sont décidés par acte législatif ou règlementaire pris après avis motivé de la CIL. Ils portent sur la sûreté de l’État, la défense ou la sécurité publique, la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté, le recensement de la population, les données à caractère personnel qui révèlent les convictions ou activités religieuses, philosophiques, politiques, syndicales, ethniques, la vie sexuelle, la race, la santé et les mœurs, les données génétiques ou biométriques, les mesures d’ordre social, les poursuites, les sanctions pénales ou administratives, le traitement de salaires, pensions, impôts, taxes et autres liquidations. 

 

La procédure est identique à celle des autres formalités, à l’exception que cette demande d’avis pour le secteur public, sauf dispense accordée par la CIL, doit comporter un projet d’acte législatif ou règlementaire (art. 33, al. 2 du décret d’application). De même, le dernier alinéa de l’article 30 de la loi du 30 mars 2021 prévoit qu’en cas d’avis défavorable de la CIL sur un projet d’acte règlementaire ou d’un refus d’autorisation, un recours peut être exercé devant les juridictions administratives. La CIL a également publié sur son site web, un formulaire de demande d’avis[15].

 

***

**

 

Pour terminer, il faut préciser qu’aux termes de l’article 7 du décret n° 2022-0555/PRES-TRANS/PM/MJDHRI/MEFP du 25 juillet 2022 portant organisation et fonctionnement de la CIL, celle-ci est tenue de mettre à la disposition du public la liste des traitements de données qui précise pour chacun : la loi ou l’acte règlementaire ayant décidé sa création[16], la date de sa déclaration, sa dénomination et ses finalités, le service auprès duquel le droit d’accès est exercé, la catégorie de données enregistrées ainsi que les destinataires ou catégories de destinataires habilités à en recevoir communication. Il faut également souligner qu’aux termes du dernier alinéa de l’article 53 de la loi du 30 mars 2021, l’accomplissement des formalités préalables peut donner lieu au paiement par le responsable du traitement des redevances dont les montants sont fixés par arrêté du ministère en charge des finances.

 

 

 


[1] Compte tenu de la multiplication des traitements de données à caractère personnel, l’obligation initialement imposée aux responsables des traitements de données à caractère personnel de les notifier auprès de l’autorité de protection représenterait désormais pour ceux-ci une charge administrative et financière importante et engorgerait le rôle des autorités de protection. Du reste, elle n’apporterait pas de garanties suffisantes quant à l’efficacité de la protection des données. Ce qui justifierait un « changement de paradigme », vers une approche compliance où les responsables de traitements se verraient déchargés de l’obligation générale de notification des traitements et se verraient plutôt imposer l’intégration des exigences du droit des données personnelles en interne, dans leurs organisations, à les mettre en œuvre et être en mesure de démontrer leur conformité.

[2] En Europe, voy. les articles 5, §2 et 24, § 1 du RGPD. Au titre du premier : « Le responsable du traitement est responsable du respect du paragraphe 1 [principes de licéité, loyauté, transparence, finalité, proportionnalité, exactitude, conservation limitée et sécurité] et est en mesure de démontrer que celui-ci est respecté (responsabilité) ». L’article 24, §1 dispose : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ». Voy. aussi l’article 14 des lignes directrices originelles de l’OCDE.

[3] Voy. cependant l’article 24 (3) du Nigeria Data Protection Act 2023 et l’article 17 du Data Protection Act 2012 du Ghana qui consacrent un principe d’Accountability.

[4] Pour ces distinctions entre modalités d’expression et instruments du principe d’accountability, voy. T. DOUVILLE, Droit des données à caractère personnel, 1re éd., Paris, LGDJ, 2023, pp. 267 et s.

[5] Conformément à l’article 29 de la loi, la désignation d’un délégué à la protection des données est discrétionnaire.

[6] En ce sens, voy. le dernier alinéa de l’article 33 de la loi du 30 mars 2021.

[7] L. GRYNBAUM, C. LE GOFFIC et L. MORLET HAIDARA, Droit des activités numériques, 1re éd., Paris, Dalloz, 2014, n° 1137, p. 824.

[8] Voy. le point B pour le contenu de la déclaration.

[13] Art. 33, al. 1 du décret d’application de la loi du 30 mars 2021.

[14] Art. 35 du décret d’application de la loi du 30 mars 2021.

[16] Cependant aux termes de l’article 60 de la loi du 30 mars 2021, des décrets pris en Conseil des ministres peuvent disposer que les actes règlementaires concernant certains traitements de données relatifs à la sûreté de l’État, la défense et la sécurité publique ne sont pas publiés.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

LA SIGNIFICATION ÉLECTRONIQUE

Image
                                         Par  Massaoudou HABIBOU   Sans doute curieuse, l’idée d’une signification électronique ou plus exactement par « la voie électronique » aurait été jugée complètement saugrenue par le juriste classique, mais elle ne l’est plus aujourd’hui. Le législateur OHADA a, en effet, consacré la signification électronique à l’issue de la toute dernière réforme de l’Acte   uniforme portant organisation des procédures simplifiées de recouvrement et des voies d’exécution  (AUPSRVE). La signification renvoie à « cette formalité » par laquelle un acte est officiellement porté à la connaissance d’un justiciable selon des moyens propres à en garantir son effectivité par un officier judiciaire territorialement compétent ou un agent spécialement habilité. E...
Lire la suite

POLITIQUE DE L’UNION AFRICAINE EN MATIÈRE DE SÉCURITÉ ET D’AUTONOMISATION DES ENFANTS EN LIGNE : OBJECTIFS, RISQUES ET PRINCIPES DIRECTEURS À PRENDRE EN COMPTE

Image
    Par Arnaud Nadinga   Le 21 mai dernier, l’Union africaine a rendu publique sa politique continentale en matière de sécurité et d’autonomisation des enfants en ligne. Adoptée en février 2024 à la 44 e  session ordinaire du Conseil exécutif de l’Union, la politique tente notamment de combler les lacunes des précédentes initiatives (nationales, régionales et continentales) et d’harmoniser les stratégies nationales, régionales et continentale de protection de la sécurité des enfants en ligne. À cette fin, elle tient compte en particulier des enseignements de l’Observation générale n° 7 (2021) sur l’article 27 de la Charte africaine des droits et du bien-être de l’enfant du Comité africain d’experts sur les droits et le bien-être de l’enfant et de l’Observation générale n° 25 (2021) du Comité des droits de l’enfant des Nations Unies sur les droits de l’enfant en relation avec l’environnement numérique. Le document rendu public identifie les opportu...
Lire la suite
Image
L’obligation de réserve de ‘’l’agent public’’ sur les réseaux sociaux   Par Massaoudou HABIBOU N.  Les discussions autour de la liberté d’expression sur les réseaux sociaux se sont développées jusqu’à présent, principalement, sur le terrain des limites qu’il convient de lui assigner.    C’est apparemment un autre problème, proche mais différent, qu’elle pose lorsqu’on l’analyse sur l’angle de l’obligation de réserve et de la déontologie auxquelles certains agents sont légalement tenus.  On le voit, les réseaux sociaux se sont imposés comme moyens privilégiés de dialogue et de communication. Leur accessibilité accrue favorise plus que jamais l’extériorisation par l’individu de ses opinions.    Ceci est d’autant plus vérifiée qu’il est aujourd’hui fréquent de voir aussi d’autres ‘’catégories de personnes’’, à l’image de l’agent public, s’exprimer, prendre position publiquement, sur des questions sur lesquelles jadis on aurait attendus d’eux une cert...
Lire la suite