Ce mardi 28 Janvier est célébrée dans le monde entier la journée mondiale de la protection des données personnelles, l’occasion pour nous de revenir sur le sujet qui jusqu’à présent, a encore besoin d’ouvriers pour annoncer la bonne parole pour la restauration de la vie privée.
C’est quoi une donnée personnelle ?
Il s’agit de toute information relative à une personne physique identifiée à travers sa photo son nom, prénom, numéro de téléphone, d’identification national ou qu’on pourrait identifier directement ou indirectement. Dans cette hypothèse, nous avons des bribes d’informations, qui après leur croisement permettent de retrouver une personne par référence à un numéro d’identification ou à un ou plusieurs éléments propres à son identité.
Dans le même ordre d’idée, la référence aux éléments propres au physique de la personne, à la physiologique, aux gènes, au psychique, à la culture, à son rang social ou à l’économie permet également de retrouver une personne.
Par exemple donnez les initiales d’une personne avec son groupe ethnique, le métier qu’il exerce dans un milieu déterminé et en une seule journée, elle est identifiée.
Un autre exemple c’est quand Facebook demande à un opérateur de lui communiquer les soldes de rechargement des abonnés et que derrière, sur la catégorie de ceux qui rechargent 20.000/mois l’opérateur lui donne leurs numéros de téléphones, ces personnes deviennent identifiables. Ainsi, Facebook pourra mettre ces profils dans une catégorie pour leur montrer des annonces bien à leur goût.
A bien des égards, ils ne disent pas toujours ce qu’ils font des données. Plus ils en ont, plus la possibilité de les monnayer augmente. A qui ? Pour quelle finalité ? C’est en ce moment que nous comprenons alors l’importance de l’autorité de protection des données personnelles comme la CDP au Sénégal.
Pourquoi une protection ?
Si vous pensez que vous n’avez rien à craindre de l’exploitation de ses données parce que vous n’avez rien à cacher, c’est parce qu’il vous faut comprendre ce qui se cache derrière. Vous y êtes, continuez certainement vous le saviez, mais nous allons en parler.
Nous avons différentes catégories de données personnelles. Derrière les attributs apparents, (numéro téléphone, compte Facebook adresse IP ordinateur ou téléphone) se cachent des attributs observés et inférés.
Ici, ce qui est recherché c’est ce que vous faites avec votre numéro de téléphone, avec votre compte Facebook. Oui, il faut le dire, Mark Zuckerberg nous connait parfois mieux que notre gouvernement et, si vous en doutiez, lisez l’histoire de Cambridge analytica. En résumé c’est une entreprise qui scrute votre comportement numérique pour après vendre ces informations aux politiciens. Si nous acceptons que le prix de notre présence sur ces plateformes soit l’exploitation de nos données, ce n’est pas pour autant que nous acceptons leur usage en dehors du cadre commercial.
Une éventuelle collaboration des Géants du Web comme Facebook avec nos Etats et / ou leurs démembrements comme l’autorité de protection des données personnelles ou des communications électroniques pourrait nuire aux libertés individuelles et fausser le jeu démocratique.
Aujourd’hui même nos visites sur d’autres sites web nous sont surveillées dans le but de nous suggérer des publicités. Après l’observation, nous sommes classés dans des catégories qu’ils ont décidées, à notre insu, grâce à ce qu’ils ont vu et dans bien des cas, ils peuvent se tromper.
Combien de fois avez-vous ouvert un compte mail avec un faux nom ou un pseudo ?
Combien de fois avez-vous ouvert votre accès wifi au voisin ?
Peut-être qu’il était en train de regarder des vidéos de pédopornographie ou de porno pour adulte. Après tout, c’est sa vie privée, mais l’absence de contrôle des plateformes peut conduire à des erreurs sur votre personnalité. Le pire, vous êtes dans une catégorie que vous-même ignorez. Souvenez-vous de la « dashlist » le fichier qui circulait sur WhatsApp ou on pouvait voir les filles dites « facile ».
A un niveau beaucoup plus visible nous sommes tous responsables de traitement. Vous avez, au moins, une fois traité des données personnelles. Comprenons par traitement toute opération de manipulation telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, le cryptage, l’effacement ou la destruction des données personnelles.
Cette protection est un gage de compétitivité.
Beaucoup d’acteurs pensent que la protection des données est un blocage pour leur business alors que le traitement est considéré comme légitime si les personnes concernées ont donné leur consentement. Par contre il y’a dérogation lorsque le traitement est nécessaire pour le respect d’une obligation légale, pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées; pour l’exécution d’un contrat ou de mesures pré-contractuelles; pour la sauvegarde de l’intérêt (par exemple vital) ou des droits et libertés fondamentaux de la personne. La vie privée n’est plus une affaire individuelle dans la mesure où je partage des informations avec mon entourage. Si nous ne combattons pas l’asymétrie d’information, les efforts individuels seront sans effet.
La conformité à la législation des données personnelles constitue aujourd’hui un avantage concurrentiel. Plus les clients ont conscience de leurs droits, plus il sera difficile aux entreprises considérées comme mauvais élèves d’avoir leur confiance. Il s’en suit alors, la perte de crédibilité « La négligence de Yahoo ! lui a fait perdre 500 millions de dollars de valorisation de cession, et lui a causé un préjudice d’image difficilement quantifiable », argue Thomas Beaugrand, associé du cabinet Staub & Associés.
Elle permet aussi de se concentrer sur son activité et d’éviter d’éventuelles mises en demeure qui peuvent être suivies du retrait de l’autorisation. Imaginez que votre activité tourne autour de l’exploitation des données, votre business modèle est basé sur leur traitement et on vous retire votre autorisation. Dans le même sillage il est possible que la CDP vous colle une amende entre (1) millions à (100) millions art 30 loi 2008-12. D’aucuns se demandent pourquoi elle n’a pas encore sévit dans ce sens.
Au lendemain du RGPD nous avons reçu de Google, Facebook, Twitter et autres plateformes des précisions sur la mise en conformité au RGPD. Nos Startups doivent aussi s’aligner dans cette pratique elles ne sont pas condamnées à opérer en local elles ont besoin d’exporter l’activité à l’étranger en Europe. La meilleure façon d’être en conformité avec le RGPD c’est de l’être d’abord avec nos lois.
Emmanuel Maurice Diokh – DPO, JURISTICOM, LAW MANAGER