Imprimer: Protection des données personnelles : petit tour d’horizon international de quelques erreurs législatives et jurisprudentielles. Par Coulibaly Ibrahim, Docteur en droit.

Village de la Justice www.village-justice.com

Protection des données personnelles : petit tour d’horizon international de quelques erreurs législatives et jurisprudentielles. Par Coulibaly Ibrahim, Docteur en droit.

Parution : jeudi 14 août 2014

Adresse de l'article original :
https://www.village-justice.com/articles/Protection-des-donnees,17540.html
Reproduction interdite sans autorisation de l'auteur.

Depuis les années 1970, date d’adoption des premières législations relatives à la protection des données à caractère personnel ou législations « Informatique et libertés », il se sera écoulé plus de trente ans. Alors qu’il ne serait pas abusif de considérer que ces législations sont arrivées à un stade de maturité et que la protection des données personnelles repose désormais sur des standards internationaux [1], la pratique laisse cependant apparaître des cas de mauvaises appréhensions, législatives et jurisprudentielles, du champ d’application des législations « Informatique et libertés ».
Cela s’observe autant en France qu’en Afrique, tant à l’égard de la définition de la notion de données à caractère personnel qu’à l’égard de la détermination des traitements soumis à la loi.

• La notion de données à caractère personnel : qu’est-ce qu’une donnée à caractère personnel ?

Il est communément admis de définir une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » [2].
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait. Ainsi, si l’identification [3] ou l’ « identifiabilité » des personnes concernées par les données est au cœur de la définition de la notion de données à caractère personnel [4], certains spécialistes de la matière ont considéré que cette identification ou cette identifiabilité était insuffisante et de proposer la « contactabilité » comme critère de définition de la notion de données à caractère personnel [5]. En guise de synthèse de ces deux critères, nous avions nous-mêmes proposé en définitive le critère de la « concernabilité » [6].
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus pratiques et simples de la définition de la notion de données à caractère personnel, nous citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle.

- Tribunal de commerce d’Abidjan (Côte d’Ivoire), jugement du 30 janvier 2014

En l’espèce, suspectant une ancienne salariée de « piratage industriel », la société OGILVY avait obtenu l’autorisation du juge de faire procéder à une expertise informatique. Pour l’accomplissement de sa mission, l’expert avait pu accéder au poste informatique de la salariée concernée, à des fichiers portant ses nom et prénom et à sa messagerie électronique personnelle. Les avocats de la défenderesse avaient alors tenté de remettre en cause l’expertise en soutenant qu’il a avait été porté atteinte aux données personnelles de madame C. M. épouse B.
Pour rejeter ce grief, le tribunal considérera que « concernant l’exploitation des données et documents personnels de Mme C. B., le tribunal note que les ordinateurs expertisés sont des ordinateurs appartenant à la société OCEAN OGILVY, mis à la disposition de ses employés dont Madame C. B. Certes l’expert a révélé l’existence de mails litigieux dans la boîte électronique de celle-ci, mais il n’est pas établi qu’il ait forcé sa messagerie, en violation des règles légales. Ce qui a été fait, c’est que l’expert a constaté que les documents produits avaient été sauvegardés par celle-ci sur le disque dur de l’ordinateur à elle remis dans le cadre professionnel par la société OCEAN OGILVY, lequel ordinateur, est-il utile de le rappeler, ne disposait pas de mot de passe. C’est donc à tort qu’il est reproché à l’expert d’avoir exploité les données et documents personnels de Madame C. B. ».
Poursuivant son analyse et reprenant à son compte l’argumentaire de la demanderesse, le tribunal note que celle-ci « précis[e] également que la mission de l’expert ne mettait en cause aucune autre partie que la demanderesse en sorte qu’il n’avait pas à convoquer aucune autre personne. Ainsi même les données personnelles invoquées n’en sont pas puisque c’est lors de l’examen d’un ordinateur de la société portant la mention C. B. accessible sans mot de passe que l’expert a fait les constats critiqués » [7].
Autrement dit, pour le tribunal de commerce d’Abidjan, les fichiers pourtant identifiés par les nom et prénom de la salariée et sa messagerie électronique personnelle ne comportent pas de données à caractère personnel dans la mesure où l’ordinateur utilisé par elle avait été mis à sa disposition par l’employeur.
Nous dirons juste, ici, que le tribunal de commerce se trompe manifestement d’analyse. Que les ordinateurs expertisés soient la propriété de la société OGILVY n’enlève rien au caractère personnel des données auxquelles l’expert a pu avoir accès ! Que la messagerie et l’ordinateur ne soient pas dotés de dispositifs de protection n’est pas non plus un obstacle à l’existence de données personnelles [8] ! Il en est manifestement ainsi de la messagerie électronique de Madame C. M. Il est acquis qu’une adresse électronique est une donnée à caractère personnel si elle permet l’identification directe ou indirecte de la personne à laquelle elle se rapporte [9].
Ce faisant, dans le cadre d’une expertise, l’expert est tenu de faire la distinction entre les données consultables et celles qui ne seraient pas car relevant de la vie privée des personnes concernées. Comme l’explique Monsieur Serge Migayron, expert judiciaire en matière informatique : « nous ne pouvons accéder qu’aux informations professionnelles et exclure de nos recherches les courriels présentés comme personnels » [10].

• Les traitements automatisés, ou non automatisés de données contenues ou appelées à figurer dans un fichier : à quels traitements s’appliquent la loi Informatique et libertés ?

De façon générale, les législations « Informatique et libertés » s’appliquent aujourd’hui aux traitements automatisés, ou non automatisés de données à caractère personnel contenues ou destinées à figurer dans un fichier. « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés des données à caractère personnel contenues ou appelées à figurer dans des fichiers… ». [11].
Si cette formulation peut paraître simple d’appréhension, la pratique jurisprudentielle et législative montre le contraire.

- Tribunal de Grande Instance de Paris, 12 juin 2013 (O. R. c/Google) [12]

Le présent jugement a été rendu au sujet d’une action en responsabilité engagée par Monsieur O. R. [13] contre les sociétés Google Inc. et Google France au sujet des fonctionnalités « Saisie Semi-automatique » (ou Autocomplete en anglais) et « Recherches Associées » (ou Related Searches en anglais).
La fonctionnalité Saisie Semi-automatique permet à chaque utilisateur du moteur de recherche Google, lorsqu’il effectue une recherche à partir de la page d’accueil, de voir apparaître directement sous la barre de recherche et au moment où il saisit sa requête, plusieurs mots-clefs ou combinaisons de mots-clefs appelés « prédiction de requêtes » qui correspondent aux premières lettres ou aux mots de la requête qu’il vient de saisir dans une fenêtre prévue à cet effet.
Quant à la fonctionnalité Recherches Associées, elle permet l’affichage, à la suite d’une requête qui vient d’être lancée, en bas de page de résultats, d’une liste complémentaire de mots-clefs ou de combinaisons de mots-clefs supplémentaires liés à la thématique de la première requête, et susceptibles d’être utilisés pour une seconde recherche dans l’hypothèse où les résultats initialement obtenus ne seraient pas satisfaisants.

Dans les faits de la présente affaire, Monsieur O. R. se plaignait de l’affichage, à la suite de la saisie de ses nom et prénom dans les moteurs de recherche Google.fr, google.be, google.ca et google.ch, des associations « O.R escroc » ; « O. R. presse citron » et « O. R. mongolien » ; Ces différents affichages et suggestions de recherche étant imputables aux outils Autocomplete et Related Searches.
Plusieurs fondements juridiques étaient invoqués [14] dont une méconnaissance de la loi du 6 janvier 1978 relative à la protection des données à caractère personnel.
S’agissant de ce dernier fondement, Monsieur O. R. soutenait que les fonctionnalités litigieuses étaient constitutives d’un traitement automatisé de données à caractère personnel soumis aux dispositions de la loi Informatique et libertés.
Quant à la société Google, elle soutenait au contraire que cette loi n’était pas applicable en l’absence de la notion cardinale de « fichier » au sens de cette loi. Pour elle, en effet, la loi s’applique aux traitements automatisés et non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. Autrement dit, même un traitement automatisé de données n’est soumis à la loi dès lors qu’il y a pas de constitution d’un fichier.
Pour sa part, le TGI de Paris jugera que « l’article 2 de la loi invoquée prévoit son application ‘‘aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.’’ ; que, comme le soutiennent à bon droit les défendeurs, le système de suggestion incriminé mis en place sur les moteurs de recherche des sites internet Google, ne répond pas à la définition que donne ladite loi du traitement du fichier, soit ‘‘tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés’’, dès lors que les mots qui sont suggérés ne présentent pas le caractère de stabilité et de structure imposés par le texte visé ; ».
Le tribunal reprend donc ici à son compte l’argumentaire qui était celui de la société Google [15]. Toutefois, cette interprétation est-elle exacte ? La loi Informatique et libertés ne s’appliquerait-elle qu’aux traitements automatisés et non automatisés de données contenues ou appelées à figurer dans un fichier ?
A cet égard, la structure grammaticale de l’alinéa 1 de l’article 2 de la loi Informatique et libertés permet de se rendre à l’évidence que l’interprétation du TGI de Paris et celle de la société Google est erronée. En effet, la ponctuation de l’article 2 indique clairement, par la présence des virgules, que seul le traitement manuel exige la présence d’un fichier.
Ce caractère alternatif et non cumulatif du critère de la présence ou de la constitution d’un fichier est confirmé notamment par le considérant 27 de la Directive 95/46 relative à la protection des données à caractère personnel [16]. Selon ce considérant, « la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel […] que, toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ».
En d’autres termes, dès l’instant où les données font l’objet d’un traitement automatisé, la loi s’applique. Il en est manifestement ainsi du recours à l’Internet. L’utilisation de l’Internet pour l’accomplissement de l’une quelconque des opérations constitutives d’un traitement de données à caractère personnel doit être considérée comme un traitement automatisé. Ainsi en a conclu la Cour de Justice des Communautés Européennes (CJCE) en réponse à une question préjudicielle posée par une juridiction suédoise s’agissant de l’application de la directive communautaire de 1995. En l’espèce, une personne avait mis en ligne sur son site Internet diverses informations la concernant ainsi ses collègues de travail. Condamnée pour infraction à la législation suédoise de protection des données, elle contestera les sanctions infligées en soutenant n’avoir commis aucun manquement. L’une des sept questions préjudicielles portait sur le point de savoir s’il y avait eu, en l’espèce, mise en œuvre d’un traitement automatisé ? La CJCE, dans son arrêt du 6 novembre 2003 [17], déclare que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement automatisé. Le raisonnement tenu par la Cour est que l’utilisation d’Internet implique en elle-même la mise en œuvre de procédures devant être regardées comme automatiques. En effet, selon elle, « faire apparaître des informations sur une page Internet implique, selon les procédures techniques et informatiques appliquées actuellement, de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux personnes qui se sont connectées à Internet. Ces opérations sont effectuées, au moins en partie, de manière automatisée » [18].
Précisons, pour finir, qu’au regard de la définition de la notion même de traitement de donnée à caractère personnel, la constitution d’un fichier n’est pas toujours nécessaire à l’application de la loi. En effet l’une quelconque des nombreuses opérations visées par le texte [19] est en elle-même constitutive d’un traitement [20].
Dès lors, « un traitement automatisé de données s’entend de toute opération ou de tout ensemble d’opérations, réalisés par des moyens automatiques, qui portent sur des données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, utilisation, diffusion, rapprochement, interconnexion, etc. » [21].
En l’occurrence, au sens strict, le simple affichage de « prédictions de recherche » permis par les fonctionnalités « Saisie Semi-automatique » et « Recherches Associées » est constitutif d’un traitement automatisé.
Monsieur O. R. a fait appel du jugement du TGI de Paris. L’arrêt à rendre par la Cour d’Appel est donc attendu et sera particulièrement intéressant car, outre l’applicabilité de la loi aux traitements automatisés, la question se posait, en amont, de savoir si la combinaison les résultats de recherche, apparaissant automatiquement à l’issue des requêtes effectuées à partir des nom et prénom de Monsieur O. R., comportent des données à caractère personnel et s’il y avait mise en œuvre d’un traitement de données à caractère personnel [22].
Affaire à suivre donc !

Pour en revenir sur le point de savoir quels traitements de données à caractère personnel – entre les traitements automatisés et non automatisés – sont soumis aux lois « Informatique et libertés », nous évoquerons les lois adoptées au Burkina Faso et en Côte d’Ivoire [23].
Pour finir, il faudra faire cas de l’Acte additionnel relatif à la protection des données à caractère personnel adopté par la Communauté Economique Des Etats de l’Afrique de l’Ouest (CEDEAO).

- La loi burkinabés relative à la protection des données à caractère personnel

Le Burkina Faso est l’un des premiers pays africains à s’être doté d’une loi relative à la protection des données à caractère personnel [24]. Cette loi est fortement inspirée de la loi française.
Aux termes de l’article 8 déterminant le champ d’application de cette loi, « la présente loi s’applique aux traitements automatisés ou non de données à caractère personnel contenues ou appelées à figurer dans les fichiers ».
Cette formulation qui est, en apparence, identique à celle retenue par le législateur français ne manque de susciter quelques difficultés d’interprétations. Il faut, tout d’abord, remarquer que la ponctuation n’est pas la même d’un texte à l’autre. Là où le législateur avait mis des virgules, le législateur burkinabé s’en est dispensé.
Cela n’est pas sans accentuer la controverse que nous évoquions précédemment s’agissant de l’interprétation à faire de l’article 2 alinéa 1 de la loi française. Si s’agissant de la loi française, il y a tout lieu d’admettre une erreur d’interprétation de la part du TGI de Paris et de la société Google, la rédaction du texte burkinabé ne laisser planer aucun doute.
En effet, pris à lettre, la loi burkinabé ne s’applique aux traitements automatisés ou non automatisés que pour autant que les données sont contenues ou appelées à figurer dans un fichier. Dès lors, en l’absence de constitution d’un fichier, la loi ne s’applique pas y compris lorsqu’il s’agit de traitements automatisés.
Une question cruciale se pose alors : cette rédaction résulte-t-elle d’un parti-pris ou s’agit-il d’une erreur ?
La piste de l’erreur peut être soutenue à plusieurs égards. D’une part, la loi burkinabé, pour l’élaboration de laquelle le Burkina Faso a bénéficié du soutien de la France à travers la CNIL, est fortement inspirée de cette loi. Par ailleurs, outre la circonstance présente, la loi burkinabé, qui a été adoptée dans l’urgence comporte de nombreuses incohérences [25]. C’est la raison pour laquelle il avait été proposé d’adapter la loi burkinabé [26].
A supposer que la rédaction de l’article 8 de la loi burkinabé relève d’un parti-pris, alors il faudrait considérer que nombres de traitements automatisés de données échapperont aux prévisions de la loi. Or, historiquement, ce sont les traitements automatisés de données qui ont été perçus comme présentant les plus de dangers pour les personnes physiques.

- La loi ivoirienne relative à la protection des données à caractère personnel

La Côte d’Ivoire n’a adopté sa loi relative à la protection des données à caractère personnel que le 19 juin 2013 [27]. Il y a un an à peine.
Comme la loi burkinabé, la loi ivoirienne est fortement inspirée de la loi française et de la directive européenne du 25 octobre 1995. En avance sur son temps, la loi ivoirienne s’inspire même du projet règlement européen sur la protection des données [28] alors même que ce dernier n’a pas encore été définitivement adopté [29].
Comme la loi burkinabé, l’article 3 de la loi ivoirienne dispose que « sont soumis aux dispositions de la présente loi […] tout traitement automatisé ou non automatisé de données contenues ou appelées à figurer dans un fichier ».
Il faudra rependre ici les réflexions faites au sujet de la loi du Burkina Faso s’agissant de savoir si cette rédaction relève d’une erreur ou d’un parti-pris. Cette question prend de l’ampleur lorsqu’il faut observer que les mêmes énonciations existent au niveau sous-régional africain.

- CEDEAO, Acte additionnel relatif à la protection des données à caractère personnel, 16 février 2010

Cette interrogation sur le point de savoir si le champ d’application retenu par les lois burkinabé et ivoirienne relève d’une erreur ou d’un parti-pris doit se poursuive au niveau des instances régionales africaines. En effet, la Communauté Economique Des Etats de l’Afrique de l’Ouest (CEDEAO) a adopté, le 16 février 2010, un Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO [30]. Ce texte, qui sert de référence au niveau de l’Afrique de l’Ouest, prévoit en son article 3 relatif au champ d’application, qu’il s’applique à « tout traitement automatisé ou non automatisé de données contenues ou appelées à figurer dans un fichier ».
S’il devait s’agir d’un parti-pris, ce dont nous doutons, il faudrait alors considérer la protection des données à caractère personnel est bien moindre dans le ressort de la CEDEAO. En effet, il faudrait considérer, par exemple, qu’une personne qui aspirerait par un logiciel espion les adresses électroniques d’internautes, pour leur adresser des messages non sollicités, ne manquerait pas aux dispositions de l’Acte additionnel dès lors qu’il ne constituerait pas de fichier avec les données personnelles aspirées [31].
L’infraction de collecte des données par un moyen frauduleux, déloyal ou illicite ne pourrait ici pas s’appliquer alors qu’elle vise « le seul fait de collecter les données et non les faits qui peuvent être liés comme la mémorisation, le traitement […] la diffusion » [32].
Ce faisant, c’est une partie substantielle de l’activité des moteurs de recherche qui échapperait à l’application de la loi « Informatique et libertés » telle qu’adoptée en Afrique de l’Ouest. Or, les lois relatives à la protection des données personnelles ont récemment dû être adaptées pour tenir compte des Nouvelles Technologies de l’Information et de la Communication dont l’Internet.
S’agissant des moteurs de recherche, la CJUE vient de rendre un arrêt fondamental [33]. La Cour a jugé « que l’activité d’un moteur de recherche qui consiste « à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel » au sens de la directive « lorsque ces informations contiennent des données à caractère personnel ».
Dès lors, une révision de l’Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO, ainsi que des lois adoptées par les Etats membres sur son fondement, semble s’imposer pour une meilleure protection des personnes.

Coulibaly Ibrahim, Docteur en droit, Elève avocat

[1] 31 ème Conférence internationale des autorités et commissaires à la protection des données personnelles et à la vie privée, "Un premier pas vers des standards internationaux". www.cnil.fr

[2] France, Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 2

[3] « Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les aspects techniques de la régulation des données personnelles : la question du numéro IP, in La régulation des données personnelles, LEGICOM, n° 42 – 2009/1, p. 128

[4] F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005. L’identification est présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les données et informations à caractère personnel. Essai sur la notion et ses fonctions, Thèse de doctorat en droit, Université de Nantes, 14 décembre 2007

[5] La contactabilité comme nouveau critère de définition de la notion de données à caractère personnel et d’application de la loi vaudrait chaque fois que « des données permettent ou non de contacter un individu, d’influencer son comportement ou de prendre une décision vis-à-vis de lui" peu importe que ces données permettent ou non l’identification des personnes. (Y. Poullet, A. Rouvroy, D. Darquennes, Le droit à la rencontre des technologies de l’information et de communication : le cas du RFID, in Cahiers Droit, Sciences & Technologies, n° 1, avril 2008, CNRS Editions, pp. 129-130). Moins qu’une focalisation sur des données permettant d’identifier les personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-à-vis de certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y. Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième génération de réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).

[6] Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction

[7] Tribunal de commerce d’Abidjan, 30 janvier 2014, RG n° 1836/2013, www.tribunalcommerceabidjan.org

[8] Sur une présentation approfondie de la notion de données à caractère personnel, Groupe de travail « article 29 » sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, adopté le 20 juin 2007

[9] Cela est admis par la CNIL. http://www.cnil.fr/documentation/questionsreponses/

[10] Migayron S., Expert judiciaire, spécialiste de la preuve numérique, entretien, Expertises 2011, p. 10

[11] France, Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 2 alinéa 1

[12] http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3787

[13] Nous avons anonymisé le nom du demandeur.

[14] Notamment la loi du 29 juillet 1881 sur la liberté de la presse, les articles 1382 et 1383 du Code civil.

[15] Notons par ailleurs que cette interprétation est reprise par nombres d’acteurs publics comme le CNRS. Définissant le traitement automatisé de données personnelles, le CNRS considère que « est dénommée traitement automatisé d’informations nominatives toute opération aboutissant à la constitution informatique de fichiers ou de bases de données, et ce quel que soit le moyen ou le support informatique, ainsi que toute procédure de consultation, de télétransmission d’informations nominatives, quel que soit le moyen de télécommunication utilisé », http://www.cil.cnrs.fr/CIL/spip.php?rubrique359

[16] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[17] CJCE, 6 novembre 2003, aff. 101/01 Göta Hovrätt c/Bodil Lindqvist

[18] CNIL, 24ème Rapport d’activité 2003, pp. 507-523. L’arrêt est également consultable sur le site Legalis.net

[19] « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». France, Loi informatique et libertés, article 2 alinéa 3

[20] Sous l’empire de la loi de 1978, avant sa modification, un contentieux a été élevé. Celui-ci portait sur le point de savoir si la notion de traitement impliquait une pluralité d’opérations tel que la loi pouvait le laisser entendre en recourant à l’expression « tout ensemble d’opérations » ou si une seule opération suffisait pour retenir la qualification de traitement de données. Dans deux jugements des 7 mai 1991 et 5 décembre 1991, le TGI de Paris a considéré qu’une seule opération suffisait (TGI Paris, 5 décembre 1991. CNIL, 12ème Rapport 1991, p. 30). Admettre le contraire aurait eu pour conséquence de dénaturer la loi. En l’espèce, le juge retient qu’une seule opération suffit. Peu importe que le traitement ait un caractère expérimental ou préparatoire à la création d’un traitement définitif.

[21] http://www.legifrance.gouv.fr/Droit-francais/Guide-de-legistique/V.-Schemas-logiques-et-cas-pratiques/5.2.-Cas-pratiques/5.2.9.-Creer-un-traitement-automatise

[22] Sur ces questions, l’arrêt rendu le 13 mai 2014 par la Grande chambre de la Cour de Justice de l’Union Européenne, devrait apporter d’utiles éclairages. CJUE, 13 mai 2014, Google Spain SL, Google Inc. / Agencia Espanola de Protection de Datos (AEPD), Mario Costeja G. Consultable sur le site legalis.net

[23] Ces lois sont consultables sur le site de l’Association Francophone des Autorités de Protection des Données Personnelles, http://www.afapdp.org/

[24] Burkina Faso, Loi n° 010-2004/An du 20 avril 2004 portant protection des données à caractère personnel

[25] Pour une analyse de la loi Burkinabé, voir, Coulibaly Ibrahim, La protection des données à caractère personnel…, Thèse précitée

[26] Yves Poullet, Proposition d’adaptation de la loi 10-2004 du 20 avril 2004 portant protection des données à caractère personnel (promulguée par le décret 2004-224 du 9 juin 2004, J.O.B.F. du 8 juin 2004, p. 830)

[27] Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel

[28] Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Règlement général sur la protection des données, 25 janvier 2012

[29] A titre d’exemple, comme le prévoit le projet de règlement (article 22), l’article 42 de la loi ivoirienne dispose que « le responsable du traitement est tenu d’établir un rapport annuel pour le compte de l’Autorité de protection des données sur le respect des dispositions énoncées à l’article 41 ». Cet article 41 est relatif, de façon substantielle, aux mesures prises en vue d’assurer la protection des données personnelles.

[30] CEDEAO, Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO, 16 février 2010

[31] Une telle pratique a été condamnée par la chambre criminelle de la Cour de cassation, en 2006. Etait en cause l’identification d’adresses électroniques (par robots logiciels-aspirateurs) sur Internet pour adresser des courriers non sollicités (Cass. crim. 14 mars 2006, n° 05.83.423)

[32] J. Frayssinet, Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques, Juris-Classeur Pénal, 2006, fasc. 10, p. 30, n° 263

[33] CJUE, 13 mai 2014, précité