Au Bénin comme dans tous les pays du monde, nous assistons à une explosion des Technologies de l’Information et de la Communication (TIC). L’on ne saurait imaginer aujourd’hui une administration, un commerce, une activité bancaire, etc. sans informatique : elle est au centre de nos activités professionnelles et même domestiques. Cependant, il importe que le développement des TIC se fasse dans le respect des droits et libertés des citoyens, fondement de nos sociétés démocratiques. « A l’ère des nouvelles technologies, le droit à la vie privée devient le droit des individus, des groupes et institutions de déterminer pour eux-mêmes quand, comment et dans quelle mesure l’information qui les concerne peut être communiquée à d’autres. » (Alan Westin).
C’est dans ce contexte et sous l’impulsion de l’Organisation Internationale de la Francophonie (OIF) et des directives de l’Union Economique et Monétaire Ouest Africaine (directive n°1/2006/CM/UEMOA relative à l’harmonisation des politiques de contrôle et de régulation du secteur des télécommunications du 23 Mars 2006) que le Bénin a adopté la loi N°2009-09 du 22 mai 2009 portant protection des données à caractère personnel, juste avant le vote de la loi portant organisation du Recensement Electoral National Approfondi (RENA) et Etablissement de la Liste Electorale Permanente Informatisée (LEPI).
La présente communication qui porte sur les enjeux de la mise en place d’une autorité indépendante pour le respect du droit à la vie privée et la protection des données à caractère personnel au Bénin appréhendera les moyens légaux dont dispose la CNIL pour faire face aux menaces aux libertés dérivant de l’utilisation des TIC et s’articulera sur les principaux points suivant :
I – Les fondements de la loi portant protection des données à caractère personnel
Au plan international,
La Déclaration Universelle des Droits de l’Homme (DUDH) du 10 Décembre 1948 en son article 12 stipule que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur et à sa réputation. Toute personne à droit à la protection de la loi contre de telles immixtions ou de telles atteintes. » Aussi, la déclaration des principes du sommet mondial de la société de l’information de Genève du 10-12 Décembre 2003 en son point 35 prévoit que « la protection de la vie privée du consommateur est l’un des préalables au développement de la société de l’information et à l’établissement de la confiance parmi les utilisateurs des TIC ».
Au plan communautaire,
Les normes consacrant la protection des données à caractère personnel et la vie privée sont constituées d’une part, des directives de l’Union Economique et Monétaire ouest Africaine (UEMOA), notamment la directive n°1/2006/CM/UEMOA relative à l’harmonisation des politiques de contrôle et de régulation du secteur des télécommunications du 23 Mars 2006, qui stipule que « les Etats membres veillent à ce que les missions de régulation du secteur soient exercées par des Autorités nationales de régulation en vue de la réalisation des objectifs suivants : la garantie des intérêts des populations (…) en assurant un niveau élevé de protection des données à caractère personnel et de la vie privée. » Aussi, la directive n°4/2006/CM/UEMOA relative au service universel et aux obligations de performance du réseau du 23 Mars 2006 en son article 3 prévoit-elle la nécessité pour les Etats, d’œuvrer à la protection des données à personnel et à la vie privée.
Au plan national,
La constitution du 11 Décembre 1990, déjà dans son préambule a affirmé la volonté de notre Etat de respecter les droits fondamentaux de l’Homme, les libertés publiques, la dignité de la personne humaine. Ensuite son article 15 précise que « Tout individu a le droit à la vie, à la liberté, à la sécurité et à l’intégrité de sa personne ».
Le respect de l’identité humaine, de la vie privée, des droits de l’homme et des libertés constitue donc le fondement de la loi 2009-09 du 22 Mai 2009 portant protection des données à caractère personnel en République du Bénin et a été réaffirmé comme principe en son article 2.
II – Définition de quelques concepts
2.1 Données à caractère personnel (au sens de la loi n°2009-09 du 22 Mai 2009)
On entend par « données à caractère personnel » toute information relative à une personne physique identifie ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. L’identification se fait à partir des moyens dont disposent ou auxquels peuvent avoir accès le responsable du traitement ou toute autre personne.
Une personne est «identifiée» lorsque par exemple son nom apparaît dans un fichier.
Une personne est «identifiable» lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que le lieu de résidence, la profession, le sexe et âge…).
Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations, une personne précise. Il peut, en effet, s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.
2.2 Données sensibles
Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. La collecte et le traitement de ces données sont interdits (Article 6)
Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumis à cette interdiction :
La collecte et le traitement de ces données doivent dans ces hypothèses, être justifiés au cas par cas au regard des objectifs recherchés
Autres données à risque :
III- Risques liés à l’utilisation des données à caractère personnel
3.1 Aperçu des structures qui manipulent les données à caractère personnel
Il existe des services qui traditionnellement manipulent des données personnelles ; il s’agit :
Aujourd’hui, avec les progrès des TIC, nous assistons à une intensification des stratégies de sécurisation et de contrôle, par la mise en place de fichiers utilisant des données de plus en plus sensibles. Plus aucun secteur de la vie n’échappe à cette tendance.
Ainsi, des données biométriques sont-elles collectées, numérisées, enregistrées, organisées, conservées, consultées et utilisées par les responsables des traitements sans requérir l’avis de l’autorité en charge du contrôle de la création de ces traitements. On peut citer pêle-mêle :
A cela s’ajoutent l’utilisation de l’informatique dans le monde des affaires (e-commerce, e-banking, marketing), la télécommunication (GSM), le développement des réseaux sociaux (Facebook, Twitter), la géolocalisation (Google street view, GPS), la vidéosurveillance, l’utilisation des profils d’ADN à des fins d’enquêtes de police, etc…
Dans la plupart des cas, ces bases sont mises en activité de façon illégale. L’illégalité est fondée parfois sur le contenu de la base et sûrement sur l’absence de déclaration à la Commission. Ce défaut de declaration auprès de la CNIL présente des risques. La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de ces bases peuvent porter atteinte à l’identité humaine, à la vie privée de l’individu, aux droits de l’homme, aux libertés publiques, individuelles ou collectives. Quelques exemples seront développés ici:
3.2 Risques liés à la collecte de données personnelles
3.3 Risques liés à l’utilisation des données
3.4 Risques liés à l’interconnexion
Aujourd’hui; il est possible de façon officielle ou frauduleuse, à l’aide de puissants moteurs de recherche, de réaliser l’interconnexion de fichiers d’origines diverses. Il peut s’agir de fichiers d’état civil, d’immatriculation de véhicules, de fichiers sanitaires, de la LEPI, des données bancaires etc. Une remarque s’impose : nous sommes désormais nus, il suffit de connaître le nom d’une personne ou même le numéro d’immatriculation d’un véhicule pour voir s’afficher à l’écran d’un ordinateur toute la vie de l’individu concerné.
IV- Enjeux de la mise en place de la CNIL au Bénin
4.1 Rappel de la Mission de la CNIL
La définition et la mission de la CNIL sont prévues aux articles 19 et 20 de la loi informatique et libertés puis aux articles 1 et 2 du règlement intérieur de la Commission.
« La CNIL est un organisme de protection des données à caractère personnel et de contrôle de leur traitement.
La Commission est une structure administrative indépendante. Elle exerce une mission de service public. Elle est dotée de la personnalité juridique, de l’autonomie financière administrative et de gestion. La commission ne reçoit d’instructions d’aucune autorité administrative ou politique. »
« La Commission veille à l’application des dispositions de la loi N° 2009-09 du 22 Mai 2009 portant protection des données à caractère personnel en République du Bénin. »
4.2 Les Enjeux proprement dit
Les enjeux de la Commission sont définis par l’article 21 de la loi informatique et libertés.
Ainsi, la CNIL:
1. Informe et conseille toutes les personnes concernées et les responsables de traitement de leurs droits et obligations;
La loi impose que tout traitement de données personnelles fasse l’objet de formalités préalables (déclaration, demande d’autorisation)auprès de la CNIL, sous peine de sanctions pénales.
Il s’agit en particulier:
2. Contrôle la création et la mise en œuvre des traitements : vérifier la conformité des conditions générales d’utilisation et la politique de confidentialité des entreprises avec les dispositions de la loi.
3. Reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements des données à caractère personnel ;
4. Informe le Procureur de la République des violations des dispositions de la loi n°2009-09 du 22 Mai 2009 ;
Exemple : Google Inc. a décidé le 1er mars 2013 de fusionner toutes les différentes règles de confidentialité applicables à tous ses services. La CNIL (française) a prononcé, la plus haute sanction pécuniaire s’élevant à 150 000 euros.
5. Veille aux évolutions des technologies de l’information et de la communication et rendre publique son appréciation des conséquences de ces évolutions sur la protection des libertés et de la vie privée ;
6. Transmet aux pouvoirs publics, les propositions de modification législatives ou réglementaires qui lui semble susceptibles d’améliorer la protection des personnes à l’encontre de l’utilisation des technologies de l’information et de la communication.
Ces enjeux doivent être perçus comme des défis. Dans la pratique, le défi de la protection des données à caractère personnelle est de faire de LA PROTECTION DES DONNEES PERSONNELLES UN DROIT FONDAMENTAL. En voici les grands domaines :
Le niveau de déploiement de ces technologies a des conséquences directes sur nos libertés fondamentales et nécessite un contrôle.
4. Protéger l’individu face à la Puissance des technologies et leurs risques L’ETAT Sécurité & Défense Utilisation des technologies pour :
5. Protéger le citoyen parce que les données personnelles ont une valeur marchande : des informations personnelles sont nécessaires aux fournisseurs de service (en ligne ou non) pour offrir des services personnalisés performants à leurs utilisateurs – Exemples : Télépéage, paiement par carte bancaire, achats en ligne, informations ciblées etc. La réutilisation de ces données pour proposer des services payants ciblés sur nos besoins et envies est souvent la contrepartie de la gratuité de beaucoup de ces services.
6. Protéger l’individu de la dépendance aux reseaux sociaux « gratuits »: les grands services de l’internet collectant et utilisant les données personnelles de leurs utilisateurs
Il s’avère donc indispensable de protéger les droits de l’individu dans une société où tout le monde est surveillé.