Ibrahim Coulibaly est docteur en droit, spécialiste dans la protection des données à caractère personnel, avocat et enseignant chercheur à ESATIC, INH-HB. Pour lui, chaque individu est l’acteur de la protection de ses données. Interview exclusive, lors de l’African Digital Week, ce mercredi 30 novembre 2022, au BBR, sur l’île Bouley.
Qu’est-ce qu’une donnée à caractère personnel ?
En général, une donnée, c’est une information en vue de son traitement informatique. Quand on y ajoute le caractère personnel, la définition légale, c’est l’information qui permet d’identifier une personne physique, directement ou indirectement : Nom, prénoms, numéro de téléphone, plaque d’immatriculation, adresse, photo, voix, etc.
Que dit la loi sur la protection des données à caractère personnel, votée par la Côte d’Ivoire en 2013 ?
La loi sur la protection des données à caractère personnel, on peut l’appréhender sur 3 points. D’abord, elle met en place une autorité de protection des données qui est l’ARTCI (Autorité de régulation des télécoms/TIC). Cette autorité est chargée de vérifier que tout le monde respecte les dispositions de la loi. Ensuite, le responsable du traitement des données, c’est-à-dire celui qui prend l’initiative du traitement des données. Ce dernier a des obligations : sécurisation, consentement des personnes, vérification de la qualité et de la proportionnalité des données qu’il utilise. Et, enfin, la personne concernée par les données à qui la loi reconnait des droits : droit d’accès à ses informations, droit d’opposition, droit de rectification, droit à l’oubli numérique, droit à la portabilité.
Quel problème cela pose-t-il pour qu’on soit obligé de prendre une loi pour protéger ces données ?
Très bonne question. En réalité, la nécessité de protéger les données est venue des risques qu’il peut y avoir lors du traitement des données. Sachez qu’il n’y a pas de données neutres. Toute information sur nous peut être utilisée d’une façon ou d’une autre. Aujourd’hui, la pratique montre que lorsqu’on veut faire une demande de crédit, les banquiers font du crédit storing, en fonction des informations d’âge, revenus, composition de famille, etc. Ils s’en servent pour prendre une décision favorable ou défavorable.
D’autres cas ?
Dans le domaine du travail, selon que vous avez déjà été condamné ou pas, cette information peut être un frein à votre recrutement. Dans le domaine de la santé, votre profil génétique peut être exploité. Bref, toute information sur nous peut servir de base à une prise de décision contre nous. Ce sont autant de risques qui ont motivé cette loi. Il s’agit d’imposer une éthique dans l’utilisation de l’information personnelle.
Il y a aussi le risque d’utilisation de l’information à notre insu. Vous savez qu’il y a des vidéos de surveillance sur la voie publique, dans les appartements privés, qui collectent de données à l’insu des personnes. Il se pose, enfin, le problème de la conservation et de la commercialisation des données. La loi vient fixer les règles d’utilisation de l’information personnelle.
Croyez-vous que cette loi est réellement appliquée ?
Il faut dire que la loi sur la protection des données se heurtent à des difficultés. La première, c’est la méconnaissance de la loi par toutes les personnes censées l’appliquer. Cela peut s’expliquer par un déficit de vulgarisation. Il y a aussi un problème de connaissance et de technicité de la loi parce qu’il y a sans doute des notions non accessibles au grand public. Et puis, la procédure de mise en conformité avec la loi qui peut, elle-même, apparaitre complexe.
Il se pose, vous l’avez dit lors du panel, un problème d’hébergement des données…
Sur ce problème, la loi sur la protection des données pose un principe : on ne peut transférer les données que vers un pays qui assure une protection des données suffisantes. Et l’autorité de protection est censée autoriser ces transferts. Si on veut être plus pointu, on peut se demander quel est le critère qui permet d’apprécier qu’un pays apporte une protection suffisante. Est-ce parce qu’il y a une loi ? La loi y est-elle appliquée ? Existe-t-il une autorité ? Cette autorité a-t-elle des moyens d’actions ? Mais, au-delà, on parle de cloud computing. Souvent, on ne sait même pas où sont hébergées les données, on parle là de nuage, et c’est là un défi majeur.
Finalement, la question de la protection des données à caractère personnel n’est-elle pas une cause perdue ?
Non ! Il y a des choses qu’on peut faire. La loi pose des principes qui, s’ils sont respectés, devraient garantir une protection des données. On ne collecte pas les informations sans raison valable. Il faut informer et recueillir le consentement des personnes. Même dans le cloud des transferts, dès l’instant où la personne est informée, qu’elle consent, déjà, c’est une protection qu’on lui apporte.
Justement, en général, les gens ne lisent pas les conditions générales mentionnées sur les contrats !
Mais, ce n’est pas la faute du responsable de l’entreprise ! C’est la faute de la personne concernée. Chacun de nous est interpellé, y compris moi. Aujourd’hui, en France, les autorités sont arrivées à remettre en cause ces conditions générales parce qu’elles estiment qu’elles ne sont pas accessibles. Souvent, ce n’est pas dans la langue du pays ou alors c’est écrit en si petits caractères que la personne n’a pas le temps de lire. L’autorité de protection a des leviers pour remettre en cause ces conditions générales et assurer une protection plus efficace des personnes.
Quelles sont vos solutions pour garantir la protection des données ?
Je partirai de la loi, c’est la loi qui fixe le cadre. La loi existe, il faut en appliquer les principes. Mais aussi et surtout, chacun de nous est l’acteur de la protection des données. La loi donne un certain nombre de droits à la personne. Finalement, le régulateur doit jouer son rôle, le responsable d’entreprise doit honorer ses obligations, et la personne qui a des droits doit les mettre en œuvre.
Entretien réalisé
Par K. Bruno