La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 18 décembre 2020, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;
Vu la Constitution ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CBMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle, Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu le projet de loi portant règlementation des transactions électroniques en République Gabonaise ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 ponant nomination des membres de Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la demande d'avis du Ministère de la Communication et de l'Economie Numérique relatif au projet de loi portant réglementation des transactions électroniques en République Gabonaise ;
Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants :
I- DE L'OBJET DE LA SAISINE
Afin de se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, le Ministère de la Communication et de l'Economie Numérique a saisi la Commission, le 08 septembre 2020, aux fins de délivrance d'un avis motivé relatif au projet de loi portant réglementation des transactions électroniques en République Gabonaise.
II- DE LA BASE LEGALE DE LA DEMANDE
La saisine du Ministère de la Communication et de l'Economie Numérique est fondée sur la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
L'article 33-4 de la loi n°001/2011 du 25 septembre 2011 susvisée dispose que : « La Commission se dent informée de l'évolution des technologies de l'information et rend publique le cas échéant, son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ».
De même, l'article 33-4. a de la loi n°001/2011 précitée précise que : « La Commission est consultée sur tout projet de loi ou décret relatif à la protection des personnes à l'égard des traitements automatisés ».
Au regard de la matière du présent projet de loi dont l'objectif est de fixer le cadre juridique de la mise en oeuvre des transactions électroniques en République Gabonaise, il y a lieu de faire application des dispositions de l'article 56 de la loi n°001/2011 du 25 septembre 2011 qui soumet préalablement à l'avis motivé de la Commission, tous projets de textes réglementaires concernant les traitements des données à caractère personnel aux fins de vérifier leurs conformités à la loi relative à la protection des données à caractère personnel.
Cependant, il paraît opportun d'apprécier l'opportunité d'un tel projet de loi en République Gabonaise.
III-DE L'OPPORTUNITE D'UNE LOI REGLEMENTANT LES TRANSACTIONS ELECTRONIQUES EN REPUBLIQUE GABONAISE
De façon générale, les transactions électroniques visent à échanger des informations nominatives à travers les technologies de l'information et de la communication. Du point de vue économique, elles favorisent le développement du e-commerce.
Sur le plan international, la législation CEMAC pose le cadre juridique commun de la protection des utilisateurs de réseaux et de service de communications électroniques, à travers la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC.
Cette Directive vise à garantir aux utilisateurs un certain nombre de droits en termes de respect de la vie privée, de qualité et de permanence des services, d'information, de traitement de données à caractère personnel et de protection à l'égard de la Cybercriminalité. L'article 3 alinéa 1 de la présente Directive dispose que : « Les Etats membres s'assurent que les opérateurs garantissent la confidentialité des communications effectuées au moyen des réseaux de communication électroniques accessibles au public et la confidentialité des données relatives au trafic y afférent ».
L'institutionnalisation d'une loi réglementant les transactions électroniques en République Gabonaise puise donc son inspiration de la Directive CEMAC visée ci-dessus.
De ce fait, la Commission relève que le présent projet de loi constitue une avancée significative pour notre Etat, en ce sens qu'il met en place le cadre juridique de l'utilisation du numérique dans les actes de la vie courante, puisqu'il traite notamment des aspects liés à la communication au public par voie électronique, au commerce électronique ainsi qu'à la sécurisation des transactions électroniques.
Aussi, pour chaque évolution technologique majeure résultant de l'essor informatique et de l'internet, les risques encourus sont nombreux : perte de données confidentielles, atteinte à l'image, non-respect de la vie privée etc.
A cet effet, la Commission souligne que les nouvelles technologies de l'information et notamment la communication par voie électronique, feront rentrer de nombreux individus dans une ère numérique. A travers ce projet de loi, de nombreuses données personnelles seront collectées, traitées, stockées voire partagées. Qu'il s'agisse du secteur public ou privé, ces informations comportent des données personnelles, dans la mesure où, une donnée personnelle correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
Le numérique génère un risque très élevé en termes de confidentialité des données. Il est en effet très simple de « hacker » les données à partir d'un réseau wifi public, de se connecter à distance à la messagerie, voire d'écoutes téléphoniques, lorsqu'il s'agit des transactions financières ou de tractations commerciales stratégiques. C'est pourquoi l'article 1er de la Directive n°9/08-UEAC-133-CM-18 harmonisant les régimes des activités de communications électroniques dans les Etats membres de la CEMAC définit la protection des données personnelles comme une exigence essentielle.
L'adoption de ce projet de loi permettra donc à notre Etat de s'arrimer non seulement aux standards internationaux mais également de faire face aux défis de l'ère du numérique, en garantissant la loyauté, la sécurité des transactions par voie électronique.
V-DES OBSERVATIONS DE LA COMMISSION SUR LE PROJET DE LOI PORTANT REGLEMENTATION DES TRANSACTIONS ELECTRONIQUES EN REPUBLIOUE GABONAISE
Après avoir examiné le présent projet de loi portant réglementation des transactions électroniques en République Gabonaise, la Commission propose la réécriture des dispositions suivantes :
TITRE PREMIER : Des dispositions générales
CHAPITRE PREMIER : Du champ d'application
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP) pense que l'article 4 actuel du projet de loi n'est pas compréhensible et propose la réécriture suivante :
Article 4 : Les dispositions de la présente loi ne doivent porter atteinte ni aux obligations en matière de protection des données à caractère personnel, ni aux régimes juridiques dérogatoires ou spéciaux applicables aux établissements de crédit et aux services financiers, notamment en madère de preuve électronique.
CHAPITRE 2 : Des définitions
La Commission estime que certaines définitions doivent être complétées ainsi qu'il suit :
Article 6 :
-autorité de protection des données à caractère personnel : Autorité assurant la réglementation en matière de protection des données personnelles et de la vie privée.
-Effacement : Technique qui permet à une personne concernée, le droit d'obtenir du responsable du traitement la suppression dans un délai raisonnable des données à caractère personnel la concernant en dehors de toute base légale.
-Droit d'accès : Toute personne physique justifiant de son identité a le droit de demander, par écrit, quel que soit le support, au responsable d'un traitement des données à caractère personnel, de lui fournir les informations la concernant.
-Droit de rectification et de suppression : Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
-Droit d'opposition : Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.
-Communication par transmission : Il s'agit de la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, le cryptage, personnel, ainsi que l'interconnexion des réseaux.
-Hachage : C'est un système qui permet d'associer à un message, à un fichier ou à un répertoire, une empreinte unique calculable et vérifiable par tous.
TITRE 2 : De la communication au public par voie électronique
CHAPITRE PREMIER : De la liberté de communication au public par voie électronique
Article 7 : La communication au public par voie électronique est libre, sous réserve de se conformer aux restrictions édictées par les textes en vigueurs en matière de protection des données à caractère personnel et de la vie privée.
Section 1 : Des principes généraux
Article 8 : L'activité de prestataire de services de communication au public par voie électronique est libre.
Toutefois, des autorisations peuvent être exigées pour des motifs d'ordre public, de protection de la santé publique, de sécurité publique, de protection des consommateurs, de protection des mineurs ou d'atteintes à la vie privée susceptible d'être engendrées par la collecte, le traitement, la transmission, le stockage et l'usage des données à caractère personnel.
Section 2 : Des obligations des prestataires de communication au public par voie électronique
Article 17 : Les prestataires de services de communication au public détiennent et conservent, conformément à la loi sur les données à caractère personnel, les données permettant l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
Un texte réglementaire, pris après avis motivé de la Commission Nationale pour la Protection des Données à Caractère Personnel, définit les données mentionnées au premier alinéa du présent article et détermine la durée et les modalités de leur conservation.
TITRE 3 : Du commerce électronique
CHAPITRE PREMIER : Des dispositions communes
Article 28 : Au respect du droit en matière de protection des données à caractère personnel et de la vie privée.
CHAPITRE 2 : De la publicité par voie électronique
La Commission estime que le consommateur doit être pris en compte dans le libellé de l'article
34 et pose cette réserve :
Article 34 : Le consommateur a le droit d'être informé avant que des données le concernant ne soient utilisées pour le compte des tiers à des fins de prospection.
Section 3 : Des contrats conclus avec les consommateurs
La Commission estime que le professionnel doit garantir la protection des données personnelles ' et de la vie privée du consommateur.
Article 55 : La garantie de la protection de ses données personnelles et de la vie privée.
TITRE 4 : De la sécurisation des transactions électroniques
CHAPITRE PREMIER : De la preuve électronique
Section 2 : De la signature électronique
La Commission fait remarquer que la définition de la signature électronique du présent projet n'est pas explicite et pense que la signature électronique ou signature numérique est simplement un procédé cryptographique qui permet à toute personne de s'assurer de l’identité de l'auteur d'un document et permet en outre, de s'assurer que celle-ci n'a pas été modifiée.
Section 4 : De l'archivage électronique
Article 77 : La conservation d'un document, sous forme numérique, pouvant servir de preuve aux obligations conventionnelles ou aux activités de la société de l'information doit être conforme aux dispositions des textes en vigueur.
VI-DE LA CONFORMITE DU PROJET DE LOI REGLEMENTANT LES TRANSACTIONS ELECTRONIQUES EN REPUBLIQUE GABONAISE AUX DISPOSITIONS DE LA LOI N°001/2011 DU 25 SEPTEMBRE 2011 RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les technologies de l'information, les communications et les transactions électroniques ne peuvent trouver un développement harmonieux que si elles s'opèrent dans le cadre des textes en vigueur en la matière.
La Commission rappelle que la mission qui lui est confiée par la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, est de veiller à ce que les traitements des données à caractère personnel soient mis en oeuvre conformément à ladite loi.
Cette Commission a donc pour rôle, de protéger les données personnelles des citoyens, de lutter contre les atteintes à l'identité humaine, aux droits de l'homme, à la vie privée, aux libertés individuelles ou publiques, susceptibles d'être engendrées par la collecte, le traitement, la transmission, le stockage et l'usage des données personnelles des citoyens.
A cette fin, elle est donc chargée de veiller à ce que les responsables de traitement respectent leurs obligations et que les personnes physiques exercent leurs droits.
Dans l'ensemble, les dispositions du projet de loi qui touchent le domaine de la protection des données personnelles et de la vie privée font référence à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
Le projet de loi portant réglementation des transactions électroniques en République Gabonaise prend en compte les restrictions liées aux exigences de mise en oeuvre d'un traitement de données à caractère personnel, au respect des droits de l'Homme, aux libertés individuelles ou publiques.
Toutefois, elle observe la nécessité de compléter ou de réécrire certaines dispositions contenues dans ledit projet de loi au regard non seulement de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel mais, aussi des textes internationaux y relatifs.
En conséquence, la Commission prend acte du dispositif juridique projeté dont elle approuve les trois quart (3/4) des dispositions et recommande la prise en compte de la réécriture des dispositions mentionnées au point V ci-dessus, avant son adoption.
Aussi, la Commission joint-elle en annexe le tableau de quelques obligations essentielles du responsable de traitement et droits fondamentaux des personnes en matière de protection des données à caractère personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Sous réserve de la prise en compte des précédentes observations, la Commission émet un avis favorable au projet de loi portant réglementation des transactions électroniques en République Gabonaise.
Article 2 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 22 septembre 2020
Le Président
Joël Dominique LEDAGA
ANNEXE
TABLEAU RECAPITULATIF DE QUELQUES OBLIGATIONS ESSENTIELLES DU RESPONSABLE DE TRAITEMENT ET DROITS FONDAMENTAUX DES PERSONNES EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL
La technologie sans contact doit permettre la lecture des données personnelles enregistrées dans le composant électronique, la Commission juge utile de rappeler les principes fondamentaux suivants :
N° | Des principes essentiels au regard de la loi n°1/2011 du 25 septembre 2011 |
La loyauté et la licéité du traitement -Les données doivent être collectées de manière loyale et leur traitement licite; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finale du traitement, l’identité et l’adresse du responsable de traitement. |
|
La finalité (Art 45) -Les données doivent être collectées pour les finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l’opération envisagée. |
|
La proportionnalité (Art 45) Les catégories des données collectées pour le traitement doivent être nécessaire pour atteindre l’objectif général déclaré de l’opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l’opération envisagée. |
|
La pertinence, l’exactitude et la qualité des données collectées (Art 45) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées. |
|
La temporalité, le droit à l’oubli ou la durée limitée de conservation des données (Art 68,69 et 70) La durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d’archiver les données sur support distinct protégé, dès qu’elles ne sont plus aux finalités pour qu’elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
La sécurisation et la confidentialité des données Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traités. Aussi doit-il : -mettre en oeuvre les mesures techniques et d’organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
La transparence et le consentement des personnes concernées (Art 46 et 59) Avant la mise en oeuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : -obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d’accès des personnes concernées. |
|
Le respect des droits des personnes concernées (Art 7, 13 et 14) -Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; -les personnes concernées ont le droit : -d’avoir accès à leurs données auprès du responsable de traitement ; -de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ; -de s’opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi. |