Getting your Trinity Audio player ready...
|
Dans un monde où signer un contrat de travail, ouvrir un compte bancaire, souscrire à une police d’assurance, acheter des biens ou des services, créer un compte sur les médias sociaux, remplir un formulaire en ligne, etc. ; les utilisateurs laissent des données de leur identifié. Dans ce monde de big data où chaque clique, vidéo regardée, chanson écoutée, site web visité, chaque application téléchargée, chaque lieu visité, etc. sont systématiquement flagués, enregistrés, catégorisés, traités, stockés et revendus ; les données à caractères personnels méritent d’être protégées par la loi. D’ailleurs, les analystes disent que la donnée est le pétrole de notre ère ; la Data Economy ou Data Capitalism.
Shoshana Zuboff parle de « Surveillance Capitalism » ou capitalisme de la surveillance. Elle écrit à ce propos « « Surveillance capitalism is an assault on human autonomy ». Le capitalism de surveillance est une attaque à l’autonomie humaine. Nous sommes influencés sous diverses formes. Elle parle d’une ère du capitalisme de surveillance dans son livre “THE AGE OF SURVEILLANCE CAPITALISM“.
Que savons-nous de l’usage qui est fait de nos données ? Jusqu’à quel niveau exposons-nous notre vie privée et notre sécurité ; ainsi que celle de nos proches et notre nation ? Quelle protection avons-nous pour ces données ?
Si à l’échelle mondiale le Privacy Day (journée mondiale de protection des données à caractères personnels) est célébré le 28 janvier, au Burkina Faso ; la date du 30 mars a été retenue.
Qu’est-ce qu’une donnée personnelle ?
Les données à caractère privé couramment appelées données personnelles désignent toute information permettant d’identifier directement ou indirectement une personne.
Il s’agit par exemple :
- du nom,
- du prénom,
- du numéro de téléphone,
- de l’adresse email
- de la photo,
- de l’adresse IP de votre téléphone ou ordinateur
- d’un numéro d’identification,
- d’un numéro matricule au travail
- d’un numéro d’identification de la CNSS (Caisse Nationale de Sécurité Sociale)
- etc.
Toutes ces informations peuvent permettre de vous identifier directement ou par recoupement de vous identifier indirectement.
Pour la CNIL française, une donnée à caractère personne « C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. ».
En fonction du niveau de sensibilité des données, les données peuvent être dites privées ou intimes.
Les données personnelles peuvent être communiquées sur la place publique sans mettre forcément en danger l’utilisateur. Notre nom, prénom sont affichés (avec notre consentement) sur nos différents profils. On nous appelle publiquement par notre nom.
Les données privées
Cependant, nos mots de passe, nos numéros de comptes bancaires, de sécurité sociale, et dans une certaines mesures nos numéros de téléphones etc. sont privés. Il y’a aussi l’historique de nos conversations téléphoniques ou transactions bancaires. Elles ne peuvent être communiquées que sur réquisition judiciaire dans le cadre d’une enquête par exemple.
Les données à caractères privées ne sont pas communiquées publiquement. Si notre mot de passe est communiqué publiquement ; cela nous expose. Si le code de votre carte bancaire se retrouve sur la place publique, vos finances sont à risque.
Les données intimes
Le troisième niveau de sensibilité, ce sont les données intimes ; notamment les données médicales. L’information sur notre santé est intime. Les médecins par exemple font le Sermon d’Hippocrate pour s’assurer de ne pas les divulguer.
Depuis quelques années, lorsque vous surfez sur le web, vous êtes systématiquement demandé d’accepter les cookies, etc. Cela se fait en vertu de la RGPG (Règlement Général sur la Protection des Données). Il s’agit d’une réglementation qui harmonise au niveau européen les lois sur la protection des données personnelles.
Le RGPD vise à protéger les données personnelles quant au traitement à et l’usage qui sont faits par ceux qui les collectent. Ainsi, si une institution en ligne ou physiquement collecte votre numéro de téléphone uniquement pour son usage propre ; et votre numéro de téléphone est ensuite communiqué à une tierce partie sans votre consentement, vous êtes en droit de vous plaindre.
Au Burkina Faso, l’institution en charge de la protection des données personnelles est la CIL, Commission de l’Informatique et des Liberté.
Autorité administrative indépendante depuis 2004, la CIL est régie par une loi. Cette dernière a par la suite été modifiée et remplacée par une autre loi. Selon la première responsable de l’institution, Mme Marguerite Ouédraogo/Bonané, la nouvelle loi est arrivée avec des dispositions renforcées par la loi 001/2021/AN du 30 mars 2021 et est intitulée Loi portant protection des personnes à l’égard du traitement des données à caractères personnelles.
Missions d’accompagnement et de protection
Au regard de cette loi, la date du 30 mars a été donc instituée pour être la journée nationale de la protection des données à caractères personnels. Il faut préciser que cette nouvelle loi vient en protection des personnes dont les données sont collectées chaque jour. “Notre mission est d’accompagner les personnes à une prise de conscience pour un comportement responsable lors de la manipulation des données qu’elles auront en charge” a déclaré la Présidente de la CIL, Mme Marguerite Ouédraogo/Bonané au cours d’une rencontre de sensibilisation d’étudiants sur la protection des données à caractères personnels.
Quelques définitions proposées par la CIL Burkina Faso :
Données caractère personnel « toute information, quelle qu’elle soit, qui permet d’identifier directement ou non une personne physique. Constitue des données à caractère personnel : les noms, prénoms, date de naissance, adresse, numéro de carte bancaire, groupe sanguin, adresse électronique, numéro de plaque d’immatriculation, etc. »
Donnée sensible comme « Toutes données personnelles relatives à l’état de santé, aux données biométriques, génétiques, à la vie sexuelle, aux origines raciales ou ethniques, aux opinions ou activités politiques, philosophiques ou religieuses, à l’appartenance syndicale, aux mœurs, aux recherches et poursuites des délinquants, aux sanctions pénales ou administratives, aux mesures de sûreté connexes ou autres mesures d’ordre social. »
Les personnes concernées par le traitement des données : « La personne concernée est la personne physique dont les données à caractère personnel ont été collectées et font l’objet de traitement ».
Le traitement de données : « C’est toute forme de manipulation ou ensemble d’opérations, automatisées ou non que l’on peut faire avec les données personnelles : la collecte des données, la conservation, l’utilisation, la consultation, la modification, la communication, la suppression, le transfert, etc. ».
La personne responsable du traitement des données : « La personne responsable est la personne physique ou morale, publique ou privée, qui a le pouvoir de décider de la création d’un traitement de données à caractère personnel et en détermine les finalités et les moyens. »
Notre loi défini cinq principes majeurs à respecter lors de la collecte, du traitement et de la conservation des données personnelles.
Le principe de finalité qui permet de définir les objectifs du traitement
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.
Le principe d’exactitude et de pertinence des données
Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données.
Le principe de la limite de conservation des données collectées
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver ; elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.
Le respect des droits des personne
Les données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation ;
La sécurité des données collectées
Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…).
Pour télécharger la législation nationale Loi 010-2004/AN portant protection des données à caractère personnel et LOI N°001-2021/AN PORTANT PROTECTION DES PERSONNES A L’EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL, cliquez ici.
Comment faire pour protéger vos données à caractère personnel ?
Au délà des dispositions légales qui encadrent la collecte, le traitement et le stockage de vos données, il faut avoir des comportements adéquats
- La prise de conscience : il faut déjà prendre conscience des risques et implications de l’ensemble de nos actions anodines ou importantes sur Internet. Si vous avez lu l’article jusqu’à ce niveau, c’est que vous avez déjà conscience de l’enjeu et vous voulez en savoir plus. Merci !
- Attention aux applications ; surtout celles gratuites : il est dit que quand c’est gratuit, c’est que c’est vous le produit. L’application va demander à avoir accès à des données de notre téléphone. Nous cliquons « Suivant » ou « Ok » juste pour pouvoir profiter de notre jeu par exemple. Mais derrière, nous avons donné des accès compromettants. Le pire c’est que certaines applications ne vont même pas vous prévenir. Elles vont installer des spywares, c’est-à-dire des logiciels espions qui collectent et transfèrent vos informations, transactions et usages.
- La prudence : par moment, en voulant forcément souscrire ou s’abonner, nous fournissons des informations ; juste pour passer l’étape de souscription. Il faudrait bien vérifier les informations qui sont demandées et se poser la question de jusqu’où cela vous compromet de les communiquer.
- Distinguer vos adresses personnelles et publiques : de nos jours, nos adresses emails et numéros de téléphone sont régulièrement sollicités sur des formulaires en ligne. Avoir une adresse email dédiée et un numéro de téléphone à ces genres de souscriptions.
- Opt out : se désabonner lorsque vous n’êtes pas à l’aise avec les informations qui vous sont envoyées où si vous n’avez pas souvenance avoir donné autorisation d’être contacté par l’expéditeur.
- Attention à ce que vous cochez ou ne cochez pas. Lorsque vous souscrivez à une Newsletter par exemple, il y a une case qui dit « Acceptez-vous recevoir les offres ou être contacté par nos partenaires ». Si vous cochez cela, le site est en droit de communiquer votre adresse email ou numéro de téléphone à des tierces parties pour vous contacter. Mais, par moment, cette section est écrite avec une tournure qui fera que c’est lorsque vous ne cochez pas que vous approuvez. Exemple « Je ne veux pas que mon adresse soit communiquée à vos partenaires ». Dans cette tournure, c’est en cochant que vous refusez que votre adresse ne soit partagée. Si vous laissez sans cocher ; vous consentez. C’est une forme subtile de double-négation.
- La sécurité : utiliser des mots de passe solides, activer les authentfication à facture multiple, etc.
S’il est bon de conseiller les utilisateurs, les collecteurs de données doivent appliquer des mesures préventives et respectueuses des utilisateurs. Les grandes entreprises structurées sont conscientes du sujet de la protection des données à caractères personnels et mettre beaucoup d’accent à son respect.
Cependant, avec la popularisation des outils digitaux notamment de messagerie instantanée comme WhatsApp, Telegram et le besoin de faire la promotion de ses activités ; il n’est pas rare de recevoir des messages WhatsApp ou Telegram sans avoir autorisé au préalable ces envois. Par moment, nous nous retrouvons intégrer dans des groupes WhatsApp ou Telegram de ventes d’articles sans notre consentement. Dans les groupes WhatsApp notamment, notre numéro de téléphone est exposé.
À lire arsis : WhatsApp : comment éviter d’être ajouté dans un Groupe WhatsApp sans votre accord
Les conseils pour tous ceux qui désirent inscrire des utilisateurs dans une liste de diffusion ou les ajouter dans un groupe sont les suivants :
- Permission marketing : demander toujours l’accord (opt-in). Ce n’est pas parce que quelqu’un vous a contacté avec son numéro pour un achat ponctuel qu’il veut recevoir vos alertes. Ce n’est pas également parce que vous avez vu le numéro d’une personne dans un groupe que cette personne souhaitera être ajouté à votre groupe ou recevoir vos messages commerciaux, etc. Ce n’est pas non plus parce que vous avez le contact d’une personne dans votre répertoire que cette personne souhaite recevoir vos alertes. Demander toujours l’accord de la personne. Ainsi, quand vos messages arriveront, la personne les ouvrira en se rappelant qu’il avait autorisé cela. Ne pas appliquer la bonne démarche cela vous expose à plusieurs conséquences. La personne peut vous bloquer et vous perdez toute occasion de la contacter. Le pire qui puisse arriver c’est que la personne signale votre numéro comme envoyant des messages spams ou signale le groupe et vous vous exposez à des sanctions comme la suspension temporaire ou la désactivation définitive.
- Offrir la possibilité d’arrêter de recevoir vos messages (opt-out) : si vous demandez l’accord d’une personne pour recevoir vos messages, il faut offrir la possibilité d’arrêter de les recevoir. Par exemple à Digital Magazine Burkina, vous avez la possibilité de recevoir les alertes sur les articles par WhatsApp en en souscrivant par message au +22606061212. Dans le message de confirmation, il est clairement indiqué que si vous souhaitez ne plus recevoir les alertes, vous répondez par “STOP” et votre numéro sera retiré de la liste de diffusion. Vous gardez le contrôle.
- Si vous faites du emailing ou des campagnes SMS, utilisez des plateformes d’emails comme Mailchimp ou des plateformes de SMS comme SMS BUS.
Cet écrit a été long. Mais il est important de sensibiliser les utilisateurs et les collecteurs de données à caractères personnels sur les risques d’utilisation et l’importance de la protection.
Digital Magazine Burkina, La Rédaction
1 thought on “Burkina Faso : 30 mars – Journée nationale de la protection des données à caractères personnels”
Comments are closed.