Chaque année, le 28 janvier, le monde célèbre la journée mondiale des données personnelles, aussi appelé en Anglais Privacy Day. C’est l’occasion pour faire des actions de sensibilisation sur ce sujet du moment ; le monde de la big data. Nos données personnelles sont devenues de véritable matière première avec des valeur inestimables ; mais dont nous ignorons.
Que ce soit au travail, à la banque, à la souscription d’une police d’assurance, à l’achat d’un bien, dans les associations, sur Internet, etc. nous laissons tous les jours d’importantes quantités de données personnelles pour divers types d’opérations. Que savons-nous de l’usage qui est fait de ces données ? Jusqu’à quel niveau exposons-nous notre vie privée ? Quelle protection avons-nous pour ces données ?
Autant de questions que nous devons nous poser dans un monde digital où chaque publication, chaque like, chaque commentaire, chaque partage, chaque application que nous téléchargeons, chaque click, chaque site web visité, chaque seconde que nous passons sur une publication sur les médias sociaux ; sont marqués, agrégés, catégorisés, traqués et vendus à des tierces parties. C’est ce qu’on appelle la monétisation de nos données. Les spécialistes parlent de nos jours de « data capitalism » ; le capitalisme des données où nos données sont traitées et revendues à de tierces parties pour nous proposer de la publicité ou nous influencer, nous surveiller, etc. Shoshana Zuboff parle de « Surveillance Capitalism » ou capitalisme de la surveillance. Elle écrit à ce propos « « Surveillance capitalism is an assault on human autonomy ». Le capitalism de surveillance est une attaque à l’autonomie humaine. Nous sommes influencés sous diverses formes. Elle parle d’une ère du capitalisme de surveillance dans son livre « THE AGE OF SURVEILLANCE CAPITALISM« .
Qu’est-ce qu’une donnée personnelle ?
Les données à caractère privé couramment appelées données personnelles désignent toute information permettant d’identifier directement ou indirectement une personne.
Il s’agit par exemple :
- du nom,
- du prénom,
- du numéro de téléphone,
- de l’adresse email
- de la photo,
- de l’adresse IP de votre téléphone ou ordinateur
- d’un numéro d’identification,
- d’un numéro matricule au travail
- d’un numéro d’identification de la CNSS (Caisse Nationale de Sécurité Sociale)
- etc.
Toutes ces informations peuvent permettre de vous identifier directement ou par recoupement de vous identifier indirectement.
Pour la CNIL française, une donnée à caractère personne « C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. ».
En fonction du niveau de sensibilité des données, les données peuvent être dites privées ou intimes.
Les données personnelles peuvent être communiquées sur la place publique sans mettre forcément en danger l’utilisateur. Notre nom, prénom sont affichés (avec notre consentement) sur nos différents profils. On nous appelle publiquement par notre nom.
Les données privées
Cependant, nos mots de passe, nos numéros de comptes bancaires, de sécurité sociale, et dans une certaines mesures nos numéros de téléphones etc. sont privés. Il y’a aussi l’historique de nos conversations téléphoniques ou transactions bancaires. Elles ne peuvent être communiquées que sur réquisition judiciaire dans le cadre d’une enquête par exemple. Les données à caractères privées ne sont pas communiquées publiquement. Si notre mot de passe est communiqué publiquement ; cela nous expose. Si le code de votre carte bancaire se retrouve sur la place publique, vos finances sont à risque.
Les données intimes
Le troisième niveau de sensibilité, ce sont les données intimes ; notamment les données médicales. L’information sur notre santé est intime. Les médecins par exemple font le Sermon d’Hippocrate pour s’assurer de ne pas les divulguer.
Depuis quelques années, lorsque vous surfez sur le web, vous êtes systématiquement demandé d’accepter les cookies, etc. Cela se fait en vertu de la RGPG (Règlement Général sur la Protection des Données). Il s’agit d’une réglementation qui harmonise au niveau européen les lois sur la protection des données personnelles. Le RGPD vise à protéger les données personnelles quant au traitement à et l’usage qui sont faits par ceux qui les collectent. Ainsi, si une institution en ligne ou physiquement collecte votre numéro de téléphone uniquement pour son usage propre ; et votre numéro de téléphone est ensuite communiqué à une tierce partie sans votre consentement, vous êtes en droit de vous plaindre.
Au Burkina Faso, l’institution en charge de la protection des données personnelles est la CIL, Commission de l’Informatique et des Liberté.
Quelques définitions proposées par la CIL Burkina Faso :
Données caractère personnel « toute information, quelle qu’elle soit, qui permet d’identifier directement ou non une personne physique. Constitue des données à caractère personnel : les noms, prénoms, date de naissance, adresse, numéro de carte bancaire, groupe sanguin, adresse électronique, numéro de plaque d’immatriculation, etc. »
Donnée sensible comme « Toutes données personnelles relatives à l’état de santé, aux données biométriques, génétiques, à la vie sexuelle, aux origines raciales ou ethniques, aux opinions ou activités politiques, philosophiques ou religieuses, à l’appartenance syndicale, aux mœurs, aux recherches et poursuites des délinquants, aux sanctions pénales ou administratives, aux mesures de sûreté connexes ou autres mesures d’ordre social. »
Les personnes concernées par le traitement des données : « La personne concernée est la personne physique dont les données à caractère personnel ont été collectés et font l’objet de traitement« .
Le traitement de données : « C’est toute forme de manipulation ou ensemble d’opérations, automatisés ou non que l’on peut faire avec les données personnelles : la collecte des données, la conservation, l’utilisation, la consultation, la modification, la communication, la suppression, le transfert, etc. ».
La personne responsable du traitement des données : « La personne responsable est la personne physique ou morale, publique ou privé, qui a le pouvoir de décider de la création d’un traitement de données à caractère personnel et en détermine les finalités et les moyens. »
Notre loi défini cinq principes majeurs à respecter lors de la collecte, du traitement et de la conservation des données personnelles.
Le principe de finalité, qui permet de définir les objectifs du traitement.
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur
Le principe d’exactitude et de pertinence des données
Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données ;
Le principe de la limite de conservation des données collectées
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver ; elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données ;
Le respect des droits des personne
Les données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation ;
La sécurité des données collectées
Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…).
Pour télécharger la législation nationale Loi 010-2004/AN portant protection des données à caractère personnel et LOI N°001-2021/AN PORTANT PROTECTION DES PERSONNES A L’EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL, cliquez ici.
Comment faire pour protéger vos données à caractère personnel ?
Au délà des dispositions légales qui encadrent la collecte, le traitement et le stockage de vos données, il faut avoir des comportements adéquats
- La prise de conscience : il faut déjà prendre conscience des risques et implications de l’ensemble de nos actions anodines ou importantes sur Internet. Si vous avez lu l’article jusqu’à ce niveau, c’est que vous avez déjà conscience de l’enjeu et vous voulez en savoir plus. Merci !
- Attention aux applications ; surtout celles gratuites : il est dit que quand c’est gratuit, c’est que c’est vous le produit. L’application va demander à avoir accès à des données de notre téléphone. Nous cliquons « Suivant » ou « Ok » juste pour pouvoir profiter de notre jeu par exemple. Mais derrière, nous avons données des accès compromettants. Le pire c’est que certaines applications ne vont même pas vous prévenir. Elles vont installer des spywares, c’est-à-dire des logiciels espions qui collectent et transfèrent vos informations, transactions et usages. L’actualité nationale oblige ; dernièrement nombreux se sont rués sur des VPN (gratuits surtout) pour accès à Facebook via connexion Internet mobile suite à la restriction imposée par les anciennes autorités. Ont-ils mesuré l’ampleur des données qu’ils y ont laissées et l’exposition à laquelle ils se prêtent ?
- La prudence : par moment, en voulant forcément souscrire ou s’abonner, nous fournissons des informations ; juste pour passer l’étape de souscription. Il faudrait bien vérifier les informations qui sont demandées et se poser la question de jusqu’où cela vous compromet de les communiquer.
- Distinguer vos adresses personnelles et publiques : de nos jours, nos adresses emails et numéros de téléphone sont régulièrement sollicités sur des formulaires en ligne. Avoir une adresse email dédiée et un numéro de téléphone à ces genres de souscriptions
- Opt out : se désabonner lorsque vous n’êtes pas à l’aise avec les informations qui vous sont envoyées où si vous n’avez pas souvenance avoir donnée autorisation d’être contacté par l’expéditeur.
- Attention à ce que vous cochez ou ne cochez pas. Lorsque vous souscrivez à une Newsletter par exemple, il y a une case qui dit « Acceptez-vous recevoir les offres ou être contacté par nos partenaires ». Si vous cochez cela, le site est en droit de communiquer votre adresse email ou numéro de téléphone à des tierces parties pour vous contacter. Mais, par moment, cette section est écrite avec une tournure qui fera que c’est lorsque vous ne cochez pas que vous approuvez. Exemple « Je ne veux pas que mon adresse soit communiquée à vos partenaires ». Dans cette tournure, c’est en cochant que vous refusez que votre adresse ne soit partagée. Si vous laissez sans cocher ; vous consentez. C’est une forme subtile de double-négation.
- La sécurité : utiliser des mots de passe solides, activer les authentfication à facture multiple, etc.
Merci pour le temps de lecture. Si vous avez des astuces et conseils à rajouter sur comment protéger nos données personnelles, elles seront les bienvenues en commentaire.
Boukary Zorom
Le Kiosque Digital du Burkina 
3 commentaires