Hier jeudi 28 janvier 2016, le Mali, pour la première fois, à l’instar des autres pays de la Communauté internationale, a célébré la journée internationale de la protection des données à caractère personnel. Faut-il le rappeler, notre pays a adopté la loi N 2013-015/ du 21 mai 2013 qui institue à travers ses articles 20 à 55 une Autorité de protection des données à caractère personnel en République du Mali (APDP). Cette structure hautement technique et juridique est dirigée aujourd’hui par un homme politique en la personne de l’ancien président du Haut Conseil des Collectivités Territoriales, M. Ag Oumarou qui était mieux comme ambassadeur que président de l’équivalent de la CNIL (Commission Nationale Informatique et Liberté) française au Mali. La création de cette Autorité se justifiait amplement car l’essor considérable que connaissent aujourd’hui l’informatique et les nouvelles technologies de l’information et de la communication s’est opéré dans notre pays en l’absence de toute législation appropriée permettant d’en encadrer efficacement les enjeux. Avec le vote de la loi, la mise en place de l’APDP et la célébration aujourd’hui dans notre pays de la première journée de la célébration de la protection des données à caractère personnel témoigne d’une prise de conscience nationale de l’enjeu des données personnels des maliens. En cette occasion nous vous proposons un zoom sur l’autorité de protection des données à caractère personnel et la première célébration de cette journée au Mali.
Il faut entendre par données personnelles, toute information à partir de laquelle une personne physique ou morale est identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres tels que nom, prénom, numéro de téléphone, quartier, préférence et orientation sexuelle, appartenance politique, état de santé, etc. Les diverses applications de l’informatique notamment à travers l’internet et les satellites, les données et informations de toutes sortes qu’ils véhiculent en permanence à travers le monde, constituent souvent de sérieuses menaces pour la vie privée et la sécurité des personnes. Alors que la Constitution malienne du 25 février 1992 affirme sans ambages, sous réserve des conditions prévues par la loi, l’inviolabilité de la vie privée, du secret des correspondances et des communications, l’adoption de la loi sur la protection des données (LPDP) et la mise en place de l’Autorité chargée de sa mise en œuvre tentent de rassurer à tous maliens la protection de ses données personnelles. Il s’agit de toute information existant sur elle sous différentes formes permettant de l’identifier directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments propres à son identité. La loi portant protection des données personnelles énonce les principes qui régissent le traitement des données personnelles, fixe les règles qui garantissent la sécurité et la confidentialité des données et définit les conditions de leur transfert vers l’étranger. Elle reconnait à toute personne le droit d’accès aux données qui la concernent, de les rectifier et aussi de refuser de figurer dans un traitement de données à charge pour lui d’en assumer les conséquences. Et, pour la mise en œuvre de ces dispositions, il est créé au Mali une structure indépendante dénommée «Autorité de Protection des données à caractère personnel » qui a également pour mission de participer à la réglementation du secteur.
Zoom sur l’avènement de l’Autorité de protection des données au Mali
En cette journée, l’APDP, à travers son premier président M. Oumarou Ag Mohamed Ibrahim Haïdara a souligné que depuis quelques années, notre pays connait un essor considérable dans le domaine des nouvelles technologies de l’information et de la communication. Ce développement a fortement impacté la vie des citoyens à travers l’avènement de l’économie numérique, le partage tous azimuts de l’information, des données électroniques et l’accès au savoir. Cependant, force est de le reconnaitre que parallèlement à ce progrès incontestable, couve en sourdine le danger que l’outil informatique expose de façon non discriminée la vie privée de leurs utilisateurs. Avec en toile de fond la cybercriminalité, les menaces sur la souveraineté et la sécurité nationales, les violations itératives des libertés et des droits fondamentaux de la personne humaine.
Ainsi, face au péril informatique et ses implications néfastes sur nos sociétés respectives, la CEDEAO à travers un Acte Additionnel à l’issue de la rencontre des Chefs d’Etats et de Gouvernements, tenue à Abuja le 16 février 2010, invitait les Etats membres de l’organisation à mettre en place, sans délai, des Autorités de Protection des Données à Caractère Personnel. Cette disposition a par-ailleurs été consolidée par la Convention de l’Union Africaine sur la cyber sécurité et la protection des données à caractère personnel, signée à Malabo, le 27 juin 2014.
Une nécessité pour le respect des libertés fondamentales
En application de cette directive, la République du Mali, par la loi N°015 du 21 mai 2013 a porté sur les fonts baptismaux une Autorité Administrative Indépendante dénommée Autorité de Protection des Données à caractère Personnel (APDP). Composée de 15 membres désignés pour un mandat de 7 ans non renouvelable, l’Autorité a pour objectif entre autres d’assurer à toute personne physique ou morale, publique ou privée la protection de ses données à caractère personnel, sans distinction de race, d’origine, de couleur, de sexe, de langue, de religion, de fortune, de naissance, d’opinion, de nationalité ou autre. Et l’installation, le 19 août 2015 de l’Autorité de Protection des Données à caractère Personnel (APDP), vient confirmer davantage, la ferme volonté des plus Hautes Autorités du pays tendant à conforter l’Etat de droit au Mali, socle de la démocratie. Cette Autorité aura pour missions entres autres la régulation des traitements de données personnelles, contrôle des transferts de données, instruction de plaintes et contrôle de conformité des traitements de données, dénonciation des infractions, tenue d’un registre des traitements, préparation des avis et conseil du gouvernement sur les projets de loi ou décret relatif à la protection des données.
Ainsi, se dressant contre les violations inhérentes au secret des renseignements personnels, l’Autorité de Protection des Données à caractère Personnel se révèle aussi, ce renfort supplémentaire qui fortifie le dispositif national mis en place contre toute forme de transgression relative à la communication électronique.
Il s’agit à travers cet acte de garantir le traitement de toute donnée informatique, sous quelle que forme que ce soit, dans le respect strict des libertés et des droits fondamentaux des personnes physiques, en prenant compte des prérogatives de l’Etat, des droits des collectivités territoriales, des intérêts des entreprises privées et de la société civile.
Instrument de veille au respect de la confidentialité des données informatiques et de promotion des droits y afférents à travers l’éducation pour tous au numérique, à l’APDP on dit œuvrer inlassablement à ce que dorénavant, la loi en matière de protection des données à caractère personnel soit appliquée.
Pour la première célébration de cette journée dans notre pays, l’APDP a organisé une conférence-débats précédée d’une formation à l’attention des étudiants des différentes facultés sur les techniques de protection des Données à Caractère Personnel.
Les 7 principes clés de la protection des données personnelles
Une bonne et fiable protection des données requiert 7 principes qui sont :
- Le principe de finalité
Cela explique que les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.
- Le principe de proportionnalité
Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.
- Le principe de pertinence des données
Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.
- Le principe de durée limitée de conservation des données
C’est ce que l’on appelle le droit à l’oubli. Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà, les données peuvent être archivées, sur un support distinct.
La durée de conservation déclarée dans le registre du CIL doit correspondre à la période durant laquelle les données restent accessibles ou consultables, par opposition avec la période d’archivage des données pendant laquelle celles-ci ne sont plus destinées à être utilisées et sont de ce fait, conservées sur un support distinct au sein d’un service d’archives.
5 .Le principe de sécurité et de confidentialité
Le responsable du traitement, est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation :
Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder en raison de leurs fonctions.
Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées.
Les mesures de sécurité, tant physique que logique, doivent être prises. (par ex : Protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe alphanumériques d’un minimum de 8 caractères.)
Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.
- Le principe de transparence
La loi garantit aux personnes l’information nécessaire relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d’un contrôle personnel. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.
- Le principe du respect du droit des personnes
Lors de l’informatisation de tel ou tel service, ou lorsque des données sont recueillies par exemple par voie de questionnaires, les usagers concernés et le personnel de l’organisme doivent être informés de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leur sont ouverts au titre de la loi “Informatique et Libertés” : droit d’accès et de rectification mais aussi, droit de s’opposer, sous certaines conditions, à l’utilisation de leurs données. Voir la rubrique correspondante.
Cette information doit être diffusée, par exemple, au moyen d’affiches apposées dans les services recevant du public, de mentions portées sur les formulaires de collecte papier et électroniques, ainsi que sur les courriers et courriels adressés aux personnes dont les données sont collectées. Des modèles de mentions d’information sont disponibles sur le site. Voir la rubrique “Modèles de messages d’information”
Toute personne peut demander communication de toutes les informations la concernant contenues dans un fichier détenu par l’établissement et a le droit de faire rectifier ou supprimer les informations erronées.
Toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.
Notons enfin que l’initiative d’une Journée mondiale consacrée à la protection des données s’inscrit en droite ligne de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Élaboré dans le cadre du Conseil de l’Europe sur les fondements de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le document appelé aussi Convention de Strasbourg ou Convention 108 est devenu une référence dans le monde. À ce jour, 44 pays dont le Mali ont adhéré à cette convention qui permet aux citoyens des pays concernés de veiller au respect de leurs droits à la protection de leurs données personnelles, de leurs libertés et droits fondamentaux, et plus spécialement de leur vie privée.
- LISTE DES MEMBRES DE L’AUTORITE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL
- Membres désignés par la Présidence de la République:
- Oumarou Ag Mohamed Ibrahim Haïdara
- Mme Diarra Assoufatou Thiero
- Membres désignés par l’Assemblée nationale:
- Honorable Seydou Dembélé
- Honorable Habib Sofara
- Membres désignés par le Haut conseil des collectivités:
- Hamidi Hama Diallo
- Zakaria Nourradine
- Membre désigné par le ministre chargé de l’État civil:
- Boureïma Seiba
- Membre désigné par le ministre chargé de la Sécurité intérieure:
- Contrôleur général de Police Kassoum Sininta
- Membre désigné par le ministre chargé de l’Informatique
- Souhahébou Coulibaly
- Membres désignés par la Cour suprême:
- Hamidou Banahari Maiga
- Mme Diawara Safiatou Dao
- Membres désignés par la Commission nationale des droits de l’Homme (CNDH):
- Mme Diallo Maïmouna Coulibaly
- Mossa Yattara
- Membre désigné par la Coordination des associations et ONG féminines:
- Mme Keita Estelle Zoumahoun
- Membre désigné par le Conseil national de la société civile:
- Boureima Allaye Touré
Dieudonné Tembely