Protection des données

personelles
DrBaye Samba DIOP
Chef département contentieux ARTP
Baye.diop@artp.sn
 Plan
I/ Introduction
II/ Les principes de protection
III/ Les mécanismes de protection
III/ Les sanctions contre les atteintes aux
données
III/ La protection pénale
 Introduction
Article 4-6 : « toute information relative à une personne
physique identifiée ou identifiable directement ou
indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments, propres
à son identité physique, physiologique, génétique,
psychique, culturelle, sociale ou économique ».
En résumé : une donnée à caractère personnel est une
:
1. Une information associée à un nom
2. Une information qui permet d’identifier une personne
3. Une information anonyme dont le recoupement
permet d’identifier une personne
 Introduction
• La notion de « donnée publique » couvre l’ensemble
des données qui sont ou devraient être (légalement ou
volontairement) publiées ou tenues à disposition du
public, et qui sont produites ou collectées par un État,
une collectivité territoriale, un organe parapublic, dans
le cadre de leurs activités de service public.
L'accessibilité de la donnée publique (qui implique
aussi la Liberté d'accès aux documents administratifs)
est un des éléments de la transparence d'une
gouvernance, considérée par Guy Braibant comme
faisant partie de la « troisième génération des droits de
l'Homme »
 Introduction
• Banque de données désigne « un ensemble de
données relatives à un domaine défini des
connaissances et organisé pour être offert au
consultation d’utilisateurs »;
• Base données signifie « un ensemble de données
organisées en vue de son utilisation par des
programmes correspondants à des applications
distinctes et de manière à faciliter l’évolution
indépendante des données ». Voir arrêt du 22
décembre 1981 JONC 17 janvier 1982, page 624.
 II/ Les principes de protection

Tout traitement de données à caractère personnel

suppose le respect de principes de base,
notamment :
Principe d’exactitude (Art. 36) : les données à
caractère personnel collectées doivent être
exactes et, si nécessaire, mises à jour.

---
 II/ Les principes de protection
Principe de légitimité (art. 33) : Les données à caractère personnel doivent
être :
1) traitées loyalement et licitement ;
2) traitées lorsque la personne concernée a donné son consentement ;
 II/ Les principes de protection
Principe de finalité (article 35) : les données doivent être collectées pour des
finalités déterminées et ne peuvent pas être traitées ultérieurement de
manière incompatible avec ces finalités.
Conséquences : la finalité déclarée, l ’avance, permet
» d’apprécier la pertinence des informations et leur durée
de conservation ;
» de connaître l’éventuelle utilisation du fichier à des fins
étrangers aux faits déclarés.
En France, la Commission nationale de l’informatique et des
libertés a eu l’occasion de rappeler, dans un
avertissement en date du 9 mars 2004 adressé au Crédit
Mutuel Stéphanois que « seules des informations
strictement liées à la finalité du traitement et ayant un
caractère objectif, c’est-à-dire dépourvues de jugement
de valeur sur les personnes » peuvent être enregistrées
par les banques.
 Principe de finalité
• De même, le CNIL a retenu des manquements
dans l’utilisation des fichiers de la Banque de
France: inscriptions à tort ou, au contraire
« défichages » tardifs du fichier des
surendettés (FICP) ou du fichier des interdits
bancaires. Elle a fait savoir , dans sa séance du
21 avril 2005, que ces fichiers ne devaient pas
être détournés de leur finalité et, en
particulier, pour constituer des listes noires de
mauvais clients.
 Exclusion des données sensibles
Selon l’article 40, il est interdit de procéder à
tout traitement qui relève l’origine raciale,
ethnique ou régionale, la filiation, les opinions
politiques, les convictions religieuses, ou
philosophiques, l’appartenance syndicale, la
vie sexuelle, les données génétiques ou plus
généralement celles relatives à l’état de santé
de la personne concernée.
 Exclusion des données sensibles
• En France, la Publication au Journal officiel du 1 er juillet 2008 d’un
décret autorisant la création du FCHIER « Exploitation
Documentaire et Valorisation de l’Information Générale », présenté
au départ comme la régularisation du fichier des Renseignements
généraux créé en 1991, le fichier présenté cependant
d’importantes différences avec son prédécesseur. Ainsi, EDVGE
avait pour finalité de « centraliser et d’analyser les informations
relatives aux personnes physiques ou morales ayant sollicité, exercé
ou exerçant un mandat politique, syndical ou économique ou qui
jouent un rôle institutionnel, économique, social ou religieux
significatif ainsi que les informations relatives aux individus,
groupes, organisations et personnes morales qui, en raison de leur
activité individuelle ou collective, sont susceptibles de porter
atteinte à l’ordre public ». Art 1 et 2 du décret français du 27 juin
2008;
 Exclusion des données sensibles
• Cependant, l’exclusion ne s’applique pas aux données à caractère personnelle.
C’est-à-dire lorsque:
- le traitement des données porte sur données manifestement rendues publiques
par la personne concernée;
- la personne concernée a donné son consentement par écrit, quelque soit le
support, à un tel traitement et en conformité avec les textes en vigueur;
- le traitement des données est nécessaires à la sauvegarde des intérêts vitaux de la
personne concernée ou d’une autre personne dans le cas ou la personne
concernée se trouve dans l’incapacité physique ou juridique de donner son
consentement;
- le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit
en justice. Toutefois les données génétiques ne peuvent être traitées que pour
vérifier l’existence d’un lien génétique dans le cadre de l’administration de la
preuve en justice, pour l’identification d’une personne, la prévention ou la
répression d’une infraction pénale déterminée;
- une procédure judiciaire ou une enquête pénale ouverte;
 Exclusion des données sensibles
• pour un motif d’intérêt public;
• l’exécution d’un contrat;
• nécessaire pour respect d’une obligation
légale;
• traitement nécessaire à l’exécution d’une
mission d’intérêt public;
• traitement exercé dans le cadre d’une activité
de légitime de fondation.
 III/ Les mécanismes de protection
A/ L’application de régime juridique spécifique
au traitement des données
B/ Les droits du titulaire de données
C/ Les obligations du gestionnaire de données
D/ La protection civile des données
E/ La protection pénale des données
 A/ L’application de régime juridique
spécifique au traitement des données
Les régimes juridiques :
La finalité du traitement ainsi que la nature des données collectées
déterminent le régime juridique applicable.

L’Autorisation pour les données sensibles (données

génétiques, infractions, condamnations, interconnexion de
fichiers, biométriques, etc.). - article 20 :
La Déclaration (art. 18) - tous les autres traitements à
l’exception de ceux décidés par acte réglementaire
L’Avis ou recommandations
• L’homologation des chartes d’utilisation
• Les dispenses de formalités préalables (Ex : la tenue d’un
registre personnel ni publiable ni communicable)
 C/ Les obligations du gestionnaire de
données
Les responsables de traitement des données à caractère personnel ont des obligations
à respecter, notamment :

– l’obligation de confidentialité : le traitement des données à caractère

personnel est secret et confidentiel.

– l’obligation de sécurité : le responsable du traitement est tenu de prendre

toute précaution utile en matière de sécurité au regard de la nature des
données.

– l’obligation de pérennité : le responsable du traitement doit particulièrement

s’assurer que l’évolution de la technologie ne sera pas un obstacle à toute
exploitation ultérieure du support actuel. A cet effet, il est tenu de prendre
toute mesure utile pour assurer que les données traitées pourront être
exploitées quel que soit le support technique utilisé.
D/ La protection civile des données
privées
Droits conférés à la personne dont les données à caractère personnel font
l’objet d’un traitement :
– le droit à l’information (art. 58) : le droit pour toute personne de bénéficier au
préalable d’un certain nombre d’informations : caractère facultatif ou obligatoire
des réponses, l’identité des destinataires, les conséquences à leur égard d’un
défaut de réponse, etc.
– le droit d’accès : toute personne physique justifiant de son identité, se voit
reconnaître, par l’article 62 de la loi 2008-12, le droit de demander au responsable
d'un traitement, des informations permettant de connaître et de contester ledit
traitement.
– le droit d’opposition : selon l’article 68 de la loi, toute personne peut s'opposer,
pour des motifs légitimes, à ce que des données à caractère personnel la
concernant fassent l'objet d'un traitement.
– le droit de rectification ou de suppression (art. 69) : toute personne peut
exiger du responsable d'un traitement que soient rectifiées, complétées, mises à
jour, verrouillées ou effacées les données la concernant qui sont inexactes,
incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la
communication ou la conservation est interdite.
 D/ La protection civile des données
publiques
• En France, La loi du 17 juillet 1978, dite loi CADA, crée un droit de
réutilisation des informations publiques : "Les informations figurant dans
des documents produits ou reçus par les administrations, peuvent être
utilisées par toute personne qui le souhaite à d'autres fins que celles de la
mission de service public pour les besoins de laquelle les documents ont été
produits ou reçus" sauf si leur "communication porte atteinte à la
protection de la vie privée, au secret médical et au secret en matière
commerciale et industrielle."
• La réutilisation est possible dans trois cas :
• la personne concernée y a consenti,
• les données ont été anonymisées,
• une disposition législative ou réglementaire le permet.
En droit sénégalais, l’article 33 de la loi 2008-12 portant protection des
données à caractère personnel rend obligatoire le consentement du
titulaire des données, sous réserve d’une obligation contractuelle ou de
service public.
 C/ La protection par le droit d’auteur
• L’auteur d’une œuvre de l’esprit jouit sur cette
œuvre du seul fait de sa création, d’un droit
de propriété incorporelle exclusif et opposable
à tous. Ce droit comporte des attributs d’ordre
intellectuel et moral ainsi que des attributs
d’ordre patrimonial.
 D/ protection pénale
• La protection pénale générale données
informatisées.
La notion de données informatisées (article 431-
7) : « toute représentation de faits, d’informations
ou de concepts sous une forme qui se prête à un
traitement informatique ».
 La donnée informatisée est la représentation
numérisée de l’information.
 Le bien informationnel est « la substance
intellectuelle » de la donnée informatisée.
 D/ protection pénale
 Les incriminations prévues:
 L’interception frauduleuse de données informatisées
(article 431-12) : la garantie du secret des données, à
l’image des correspondances classiques (lettres,
missives…) conformément au principe du secret des
correspondances électroniques posé par l’article 13 de
la constitution de 2001.
 L’endommagement, l’effacement, la détérioration,
l’altération, la détérioration, la modification
frauduleuses de données informatisées (article 431-13)
 La tentative des atteintes aux systèmes et aux données
est réprimée comme les délits principaux.
 D/ protection pénale
 La mise en œuvre des traitements de données à
caractère personnel en violation de l’obligation de
préserver la sécurité des données (article 431-21)
 La collecte de données à caractère personnel par un
moyen frauduleux, déloyal ou illicite (article 431-22)
 La mise en œuvre des traitements de données à
caractère personnel en violation du droit d’opposition
de la personne concernée (article 431-23)
 La mise et la conservation sur support ou en mémoire
informatique de données sensibles (article 431-24)
 La mise et la conservation sur support ou en mémoire
informatique de données à caractère personnel
concernant des infractions, des condamnations ou des
mesures de sûreté (article 431-25)
 D/ protection pénale
• Le faux informatique (article 431-14)
 Le faux informatique principal : le fait de produire ou fabriquer
un ensemble de données numérisées par l’introduction,
l’effacement ou la suppression frauduleuse de données
informatisées stockées, traitées ou transmises par un système
informatique, engendrant des données contrefaites, dans
l’intention qu’elles soient prises en compte ou utilisées à des
fins légales comme si elles étaient originales.
 L’usage de faux informatique: usage en connaissance de cause
des données falsifiées.
• La fraude informatique (article 431-16) : l’obtention frauduleuse,
pour soi-même ou pour autrui, d’un avantage quelconque, par
l’introduction, l’altération, l’effacement ou la suppression de
données informatisées ou par toute forme d’atteinte au
fonctionnement d’un système informatique