De la protection des données à caractère personnel à Madagascar

Très tôt le droit coutumier malgache s’est soucié de la protection de la vie privée, du moins dans l’une de ses composantes à savoir, le secret des correspondances. L’article 157 du Code des 305 articles[1] disposait en effet que « celui qui lira un écrit appartenant à un particulier, alors que l’intéressé n’aurait pas sollicité cette lecture, sera puni d’une amende de dix bœufs et de dix piastres et s’il ne peut payer, sera mis en prison à raison d’un “sikajy” par jour jusqu’à concurrence du montant de l’amende ». Du reste, ce souci de protection du secret des correspondances a été repris dans le droit moderne en l’occurrence par l’article 187 alinéa 2 du Code pénal[2].

La vie privée n’était donc abordée que de manière parcellaire et surtout répressive. De fait, la notion n’a guère suscité d’intérêt dans les vastes entreprises de codification[3] au moment où la Grande île a recouvré son indépendance. Ainsi, on cherchera en vain dans la législation malgache l’équivalent de l’article 9 du Code civil français. Il faut toutefois nuancer. La vie privée n’en est pas pour autant dépourvue de protection. L’article 204[4] de la Loi sur la Théorie générale des Obligations (LTGO)[5], c’est-à-dire, le siège de la responsabilité civile permet sans doute, au plan civil, d’en sanctionner les atteintes.

Si par la suite la notion a pu être invoquée dans certains textes[6], il faudra attendre la loi 2016-029[7] portant code de la communication médiatisée[8] pour voir apparaître une définition de la vie privée. On peut lire ainsi en son article premier alinéa 63 que la vie privée s’entend de « tout ce qui se rapporte à l’intimité de la vie d’autrui : familiale, au travail, aux loisirs, à l’image, sentimentale et médicale ». Bien entendu, comme l’objet de la loi l’indique, elle n’y est abordée que par rapport à ses éventuels conflits avec la communication et plus exactement avec la liberté d’expression et d’information. Là encore, le texte se singularise par sa dimension répressive[9].

La situation n’est guère meilleure au regard de la jurisprudence. Il semblerait qu’à l’heure actuelle, on ne puisse pas relever une décision de justice qui serait emblématique de la protection de la vie privée. De même, à notre connaissance la doctrine ne s’est pas encore spécialement intéressée à la notion[10].

Dans la continuité, si la protection des données à caractère personnel peut être envisagée comme un aspect de la protection de la vie privée sans que l’on puisse l’y réduire[11], il n’est dès lors guère étonnant que l’intérêt qu’elle a suscité à Madagascar se manifeste bien tardivement. Mais il faut bien en convenir, le contexte s’y prêtait de plus en plus.

D’abord sur le plan social et institutionnel. Même si on ne peut pas renier que la fracture numérique soit encore une réalité tangible à Madagascar[12], on peut toutefois avancer que la Grande île n’a pas échappé au phénomène de numérisation et de la vague Internet. On note ainsi qu’il existe un réel engouement du grand public pour les réseaux sociaux et Internet[13].

Sur le plan institutionnel, l’administration manifeste sa ferme volonté de s’engager dans l’ère du numérique. En l’occurrence, il faut signaler, dans l’optique de la modernisation de l’État, l’existence depuis 2005 d’un vaste programme pour la numérisation de l’administration intitulé : Programme National de l’e-gouvernance (PNEG)[14]. La numérisation de certains documents administratifs tels que le passeport biométrique ou encore le permis de conduire biométrique s’inscrit également dans ce mouvement.

Puis, sur le plan économique. Dans le contexte intérieur, de manière générale le commerce électronique commence à se développer. C’est la raison pour laquelle le législateur a pris soin d’adapter le corpus législatif[15]. De manière plus particulière, il faut noter le fulgurant développement des services via le téléphone mobile. Spécialement, le « mobile banking »[16] qui offre, à ne pas en douter, des solutions concrètes et à moindre coût dans un pays où le taux de bancarisation de la population est encore très faible[17].

Alors que dans un contexte international, Madagascar par la qualité de la connexion locale ainsi que d’autres facteurs (faible coût de la main-d’œuvre ou encore un faible décalage horaire avec l’Europe et plus particulièrement la France) se positionne clairement comme un partenaire fiable à de nombreuses sociétés européennes spécialement françaises, pour l’externalisation. Autrement dit, la sous-traitance d’un certain nombre de services tels que le service clientèle, comptable ou encore le web manager. De fait, un consommateur en France faisant une réclamation auprès d’un service clientèle a de fortes probabilités d’avoir sur un opérateur malgache à l’autre bout de la chaîne.

Ainsi, on voit bien que la question des données à caractère personnel se niche au cœur de ces situations diverses. La problématique de leur protection ne pouvait donc que se poser : comment assurer la protection des données à caractère personnel à Madagascar dans ce contexte susmentionné ?

À cet égard, Madagascar s’est donc récemment doté d’une loi : 2014-038 sur la protection des données à caractère personnel[18] qui comme son nom l’indique constitue l’épine dorsale de la protection (§1) ainsi voulue. On se demande toutefois si au-delà de cette loi, la protection des données à caractère personnel n’appelle pas des moyens complémentaires (§2).

§ 1 – Protection par la loi 2014-038

La lecture de l’exposé des motifs de la loi 2014-038 permet de comprendre que ce texte a entre autres ambitions de répondre à un enjeu économique[19]. Cette visée mercantile peut être critiquable. Elle permet néanmoins d’expliquer en grande partie le processus d’élaboration de cette loi.

En effet, cet objectif justifie le fait que le législateur ait fait siennes les expériences des systèmes juridiques les plus élaborés en matière de protection des données à caractère personnel. Plus précisément, un lecteur attentif de la loi française 78-17[20], elle-même, impactée par le droit européen ne sera pas décontenancé par la lecture de la loi malgache 2014-038.

Cette similitude se reflète au regard de la définition des données à caractère personnel au sens de la loi 2014-038[21] et au-delà, au regard de l’architecture générale même de la loi. Cette dernière repose, selon le législateur sur « quatre piliers »[22] : l’affirmation des principes fondamentaux devant présider à la conception et à la mise en œuvre des traitements de données à caractère personnel[23], la garantie des droits des personnes[24], l’institution d’une autorité indépendante[25] et enfin, l’instauration d’un régime de sanctions qui se veut significatif[26]. Toutefois, il est semble-t-il utile, en complément de ces quatre piliers clairement identifiés par le législateur, d’ajouter un cinquième élément d’importance à savoir, la désignation d’un délégué au traitement des données à caractère personnel[27].

Plus avant, on pourra dès lors affirmer que cette méthode a fait que la loi 2014-038 soit certainement de qualité (A). Elle n’en demeure pas moins perfectible (B).

A) Une loi de qualité

Il ne s’agit pas de recenser les qualités de la loi article par article. La démarche serait fastidieuse et au demeurant probablement contre-productive. Jauger la qualité de la loi à l’aune de l’objectif qui lui a été assigné s’avère plus pertinent. En ce sens, on peut relever que tout en reconnaissant le rôle prééminent de l’informatique dans le processus de développement[28], la loi 2014-038 entend protéger les droits des personnes[29] contre tout traitement[30] abusif des données à caractère personnel. On peut donc estimer que la qualité de la loi s’évincera de sa capacité à promouvoir les traitements des données (1) tout en garantissant les droits des personnes (2).

1) Promouvoir les traitements

De prime abord, il convient de préciser qu’au regard des dispositions de la loi, d’une part toutes les données à caractère personnel ne peuvent faire l’objet d’un traitement. Le traitement des données sensibles est interdit sauf disposition contraire de la loi[31]. D’autre part, les données à caractère personnel relatives aux infractions et condamnations ne peuvent faire l’objet d’un traitement que par les juridictions, les autorités publiques gérant un service public, ou par les auxiliaires de justice dans le cadre de l’exercice de leurs missions[32].

Hormis ces restrictions, on peut affirmer que le texte recèle des dispositions plutôt favorables au traitement des données à caractère personnel.

a)   Au regard des principes fondamentaux

Précisés dans les articles 14 et suivant du texte, ils commencent opportunément par l’affirmation des principes généraux relatifs aux données et aux traitements[33]. Autrement dit, il s’agit du principe de loyauté et de licéité de la collecte et du traitement des données, du principe de finalité, celui de la qualité des données et enfin celui de proportionnalité.

Mais encore, le législateur a érigé le consentement de la personne concernée comme moyen de légitimation de principe d’un traitement de données à caractère personnel non sans avoir aménagé des exceptions[34].

À cet égard, il faut principalement noter que la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire a été reprise par la loi malgache[35]. Ce qui marque, à ne pas en douter la volonté de promouvoir les traitements. On sait en effet que cette notion ouvre une brèche considérable au profit notamment du responsable du traitement étant donné « son imprécision »[36]. Gageons toutefois qu’elle sera affinée par la Commission Malgache sur l’Informatique et des Libertés (CMIL).

De même, les dispositions sur le transfert des données à caractère personnel à l’étranger semblent aller dans le même sens. Les données à caractère personnel peuvent faire l’objet d’un transfert à l’étranger à condition toutefois que « l’État destinataire dispose d’une législation assurant un niveau de protection des personnes similaire »[37] à celle de la loi 2014-038. Cette condition s’apprécie au regard des circonstances déjà précisées par le texte[38].

Toutefois, à défaut de protection similaire le transfert n’est pas totalement exclu. D’une part, la loi admet que la CMIL puisse néanmoins autoriser le transfert sous réserve de garanties suffisantes[39] offertes par le responsable du traitement telles que des clauses contractuelles appropriées ou de l’adoption de règles internes. D’autre part, le transfert de données peut exceptionnellement s’effectuer même à défaut de protection similaire dans les hypothèses fixées par l’article 20 alinéa 4.

On voit bien que ces dispositions sont plutôt favorables à la circulation des données et à leur traitement en offrant plusieurs outils entre les mains du responsable du traitement. Au-delà des principes, la mise en œuvre du traitement lui-même abonde dans le sens de la simplification.

b)   Au regard de la mise en œuvre du traitement

Dans cette phase, la CMIL tient un rôle central. Rappelons qu’il s’agit de l’autorité indépendante instituée par la loi[40] et qui a vocation à « veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions »[41] de celle-ci.

Parmi ses multiples attributions, la CMIL est particulièrement sollicitée au moment des formalités préalables à la mise en œuvre d’un traitement. En la matière, la loi a opéré une distinction entre la mise en œuvre des traitements du secteur public et du secteur privé. Dans le premier cas, « les traitements automatisés de données à caractère personnel […] sont décidés par acte réglementaire après avis conforme motivé »[42] de la CMIL, à moins que lesdits traitements ne soient autorisés par la loi[43]. Alors que dans le second cas, c’est-à-dire, celui des traitements du secteur privé, ceux-ci nécessitent une déclaration préalable auprès de la CMIL[44], sauf s’ils présentent des risques particuliers pour les droits et libertés auquel cas, une autorisation préalable de la CMIL est exigée[45]. Précisons toutefois que pour les traitements de données les plus courants, peu importe qu’ils soient mis en œuvre dans le secteur public ou privé, la CMIL aura à mettre en place des normes de simplifications[46] voire, des dispenses de déclaration.

Par ailleurs, la désignation d’un délégué à la protection des données à caractère personnel[47] participe également de la simplification de la mise en œuvre du traitement. Le délégué constitue en effet une sorte d’interface entre la CMIL et le responsable du traitement. Il est dès lors compréhensible qu’en cas de désignation d’un délégué, le responsable de traitement soit « dispensé de l’accomplissement des formalités de déclaration »[48] à moins que le traitement ne soit soumis à autorisation[49].

Au final, sauf dans les cas des traitements nécessitant une autorisation, les formalités préalables à la mise en œuvre des traitements se signalent par leur simplicité. Cela est d’autant plus vrai dans le cas de la désignation d’un délégué à la protection des données.

Ainsi, la circulation des données et leur traitement sont favorisés par le texte aussi bien par le biais des principes fondamentaux qu’il proclame que dans la mise en œuvre concrète du traitement. Toutefois, l’équilibre suppose de garantir en même temps les droits des personnes.

2)       Garantir les droits des personnes

Le traitement des données à caractère personnel place face à face les personnes mettant en œuvre ledit traitement et la personne concernée. Il en résulte donc que la garantie des droits de cette dernière dépendra de la conjugaison des obligations des personnes mettant en œuvre le traitement (a) avec les droits des personnes concernées. (b)

a)   Les obligations des personnes mettant en œuvre le traitement

Le responsable du traitement est d’abord tenu d’une obligation d’informer[50]. Elle a une importance particulière puisqu’il s’agit d’un préalable à l’exercice des droits de la personne concernée. Plus avant, l’obligation d’informer est due par le responsable du traitement à la personne concernée aussi bien dans le cadre d’une collecte directe qu’indirecte[51]. Le législateur malgache ayant donc clairement repris les évolutions du texte français en la matière[52]. Toutefois, il faut aussi préciser que la personne concernée peut prendre l’initiative de demander les informations visées à tout moment[53]. Par ailleurs, l’obligation d’informer est aussi due à « toute personne utilisatrice des réseaux de communications électroniques »[54]. Quoi qu’il en soit, elle porte sur un large panel d’informations[55] et n’est exclue que dans deux hypothèses restrictives[56].

Le responsable du traitement est en outre tenu d’une obligation de sécurité[57]. On peut penser que même si le texte ne fait pas expressément référence à l’obligation de confidentialité, celle-ci fait néanmoins partie intégrante de l’obligation de sécurité. En effet, le responsable du traitement doit, entre autres, « protéger le traitement ou les données »[58] « contre […] la diffusion ou l’accès non autorisé »[59].

Par ailleurs, à juste titre, le texte fait interdiction de prendre une décision de justice ou administrative « impliquant une appréciation sur un comportement humain »[60] sur la base d’un traitement informatique de données ayant dressé le profil de l’intéressé[61].

Toutefois, dans la mise en œuvre d’un traitement de données, le responsable du traitement peut faire appel à un sous-traitant qui agira pour son compte et sous ses instructions[62]. Au regard du texte, celui-ci a l’obligation de présenter les garanties suffisantes pour la mise en œuvre des mesures de sécurité et de confidentialité[63]. D’ailleurs, la loi précise opportunément que les obligations respectives du responsable du traitement ainsi que de son sous-traitant doivent être dûment indiquées dans le contrat[64].

b)   Les droits de la personne concernée

En premier lieu, le droit de s’opposer à figurer dans un traitement[65]. Il peut s’exercer en principe[66] à tout moment et sans frais, sous réserve de justifier d’un motif légitime[67] sauf en ce qui concerne les traitements à des fins de prospection[68]. Bien entendu, la CMIL aura un rôle prééminent à jouer en la matière puisqu’il lui appartiendra d’apprécier la légitimité du motif en cas de contestation[69]. On peut penser à cet égard qu’il importe que le motif légitime soit largement apprécié et joint utilement avec le droit de rectification[70], de telle sorte qu’il puisse éventuellement servir de fondement aux délicates questions de droit au déréférencement, du reste non expressément consacré par la loi[71].

En second lieu, la personne concernée jouit d’un droit d’accès aux données à caractère personnel les concernant[72] et à leur traitement sous réserve, il va sans dire, des demandes abusives[73] et des cas exceptés de l’article 23 in fine. Manifestement, le législateur a entendu faciliter le droit d’accès à ces informations substantielles. En effet, d’une part, l’exercice de ce droit se fait de manière gratuite et précise le texte, il doit y être fait droit sans délai[74]. Ce qui en pratique peut s’avérer en réalité délicat.

D’autre part, dans l’exercice de ce droit d’accès, la CMIL s’est vu octroyer le pouvoir « d’ordonner toutes mesures de nature à éviter »[75] des risques de dissimulation ou de disparition des données. Cette disposition se justifie sans doute si l’on considère que l’autorité indépendante jouit d’une proximité plus grande qu’une juridiction à l’égard de la personne concernée. Toutefois, elle peut être source de difficultés. On peut se demander ainsi quelles en seraient les modalités et au final, s’il s’avère plus efficace de créer de tels pouvoirs au profit d’une autorité indépendante que de s’appuyer sur des dispositions classiques du code de procédure civile.

Quoi qu’il en soit, « en complément naturel du droit d’accès »[76], le droit de rectification peut être mobilisé par la personne concernée afin d’exiger du responsable du traitement que soient « rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation la communication ou la conservation est interdite »[77].

Précisons néanmoins que les droits d’accès et de rectification ne peuvent être mobilisés que par la personne concernée sauf exception[78].

On voit donc bien que le législateur s’est efforcé à trouver un point d’équilibre entre la nécessaire et utile circulation des données et donc, de leur traitement avec l’impératif de protection des personnes concernées. Bien entendu, cet équilibre doit faire l’objet d’un contrôle incombant en premier lieu à la CMIL, mais le délégué à la protection des données y participe aussi. Mais encore faut-il que dans la continuité, des sanctions significatives soient encourues en cas d’inexécution des obligations incombant aux personnes mettant en œuvre le traitement ou en cas de méconnaissance des droits des personnes. Ainsi résumée, la loi 2014-038 est plutôt de bonne facture eu égard à l’objectif susmentionné qu’on lui a assigné, il n’en reste pas moins qu’une marge de progression peut être envisagée.

B) Une loi perfectible

D’un côté, on peut avancer que quand bien même la loi 2014-038 recèle des qualités certaines, il n’en reste pas moins que, dans sa rédaction actuelle, c’est-à-dire, de manière intrinsèque, si l’on ose dire, elle appelle quelques améliorations (1). De l’autre côté, un facteur extrinsèque c’est-à-dire l’influence du RGPD[79] ne saurait être ignoré (2).

1) De manière intrinsèque

La loi 2014-38 a autant réceptionné les qualités évoquées ci-dessusde la loi française que ses éventuelles lacunes. À cet égard, on en retiendra deux aspects qui nous semblent essentiels et sur lesquels la loi malgache gagnerait à être précisée. Il s’agit d’une part des dispositions pénales (a) prévues par le texte et d’autre part de la délicate question du mineur et des incapables (b).

a)   Sur les dispositions pénales

Comme son homologue français[80], le législateur malgache a fait le choix d’insérer dans la loi 2014-038 un certain nombre de dispositions pénales[81] dans l’objectif évident de renforcer la protection des données à caractère personnel. On sait pourtant qu’en droit français une partie de la doctrine s’est interrogée sur l’opportunité de la démarche[82]. Il est vrai que l’efficacité des sanctions pénales en matière de protection des données à caractère personnel demeure largement mitigée. Il a été notamment fait observer que « les décisions, tant sur les articles 226-16 et suivants que sur les articles R. 625-10 et suivants du Code pénal ne sont […] pas très nombreuses, ce qui montre bien que la répression pénale dans le domaine n’est pas très forte. »[83]À cet égard, le rôle central de l’autorité indépendante dans sa mission de contrôle de la mise en œuvre du traitement des données n’y est sans doute pas étranger[84]. En effet, les sanctions qu’elle peut prononcer sont probablement plus accessibles que les sanctions pénales prononcées par une juridiction répressive.

Il reste que le législateur malgache a prévu des peines qui se veulent relativement significatives quant à leur quantum[85]. La plupart des infractions définies étant des délits.

Toutefois, il semble qu’il y ait une faille importante dans ces dispositions pénales. Il faut se souvenir en effet que selon les termes de la loi, le responsable du traitement peut être aussi bien une personne physique qu’une personne morale[86]. En ce sens, l’efficacité recherchée du texte commanderait dès lors que le responsable du traitement, quel qu’il soit, soit susceptible d’engager sa responsabilité pénale. Or, c’est bien là que le bât blesse. La responsabilité pénale des personnes morales n’est pas de droit commun à Madagascar.

S’il existe bien quelques législations très récentes qui ont prévu une telle responsabilité[87], celles-ci relèvent du droit spécial et surtout ces textes ont pris soin de préciser aussi bien les conditions que les modalités de mise en œuvre d’une telle responsabilité[88]. Ce qui fait cruellement défaut dans la loi 2014-038. Il en résulte donc qu’en l’état, les personnes morales échappent à l’empire de ces dispositions pénales.

Il importe dès lors, dans un souci de cohérence, que le législateur modifie le texte et prévoit une responsabilité pénale des personnes morales en en fixant les conditions et les modalités et en adaptant les peines prévues.

À côté des dispositions pénales, la question des mineurs et des incapables constitue une lacune importante du texte.

b)   Sur les mineurs et les majeurs incapables

Il s’agit d’une population particulièrement vulnérable aux risques que peut présenter la société de l’information[89] et donc, du traitement des données à caractère personnel. Pour autant, force est de constater que la loi 2014-038 ne contient aucune disposition spécifique à leur égard. Ce qui laisserait à penser qu’il suffirait de se reporter aux dispositions de droit commun. Les difficultés ne sont pas pour autant résolues.

S’agissant des majeurs incapables, un regard sur le droit commun n’est pas véritablement d’un grand secours. N’a-t-on pas fait remarquer à juste titre que « la situation des majeurs incapables en droit positif malgache demeure assez obscure […] »[90] ? C’est la raison pour laquelle, il faut encore probablement se référer en la matière aux dispositions du Code civil français[91].

En tous les cas, au regard de la protection de leurs données à caractère personnel, si l’on admet volontiers que cette population puisse être considérée comme étant particulièrement à risque, il reste que l’affirmation doit être nuancée. De fait, si le consentement est la base de légitimation[92] du traitement de leurs données, les règles de droit commun semblent parfaitement suffisantes. Autrement dit, il suffira d’appliquer les dispositions relatives aux mesures d’assistance générale ou spéciale[93] ou le cas échéant, celles relatives à la tutelle[94].

Au demeurant, le véritable enjeu à leur égard serait plutôt d’adapter certaines dispositions de la loi, notamment celles afférentes au droit à l’information pour leur garantir une effectivité de leurs droits[95].

Quant aux mineurs[96], au regard du droit commun, une difficulté préalable doit être soulevée. À première vue, il a été relevé que « les enfants sont nécessairement des mineurs, mais les mineurs ne sont pas forcément des enfants. » Il est vrai que l’article 15 de l’ordonnance 62-041[97] fixe la majorité civile à vingt et un ans alors que, la loi 2007-023[98] en son article deux dispose qu’« un enfant s’entend de tout être humain âgé de moins de 18 ans. » On peut toutefois se demander s’il n’y a pas une certaine contradiction entre ces deux textes. D’autant plus que l’article 14 de la loi 2007-023 précitée précise que « l’autorité parentale est l’ensemble des droits et devoirs attribués aux parents sur leur enfant jusqu’à majorité ou émancipation par le mariage ». Il en résulte donc que l’exercice de l’autorité parentale ne peut dépasser les 18 ans. Qu’advient-il alors du mineur de 18 ans à 21 ans sauf à considérer que, de fait la majorité est fixée à 18 ans ?

Une fois cela dit, la problématique reste entière. À l’heure de la société de l’information, l’exposition des mineurs aux objets connectés et Internet n’est pas anodine et peut présenter des risques[99]. En ce sens, il serait indiqué de doter la loi 2014-038 de dispositions spécifiques pour y faire face.

D’une part, la question du « consentement numérique du mineur »[100] se pose. Il est constant que le mineur ne peut faire seul que les actes de la vie courante. Seulement, en droit français, il a été notamment jugé[101] que l’inscription sur un réseau social n’est pas « un acte usuel de l’autorité parentale pour lequel l’accord d’un seul des deux parents serait suffisant »[102]. Ce dont, on peut déduire qu’en théorie le mineur ou « l’enfant [ne] pouvait faire tout seul »[103]. Mutatis mutandis, on dira donc qu’en droit malgache en deçà de 18 ans, un tel acte relèverait de l’exercice de l’autorité parentale[104]. Bien évidemment, cela ne correspond en rien à la réalité. D’où la nécessité de fixer un seuil plus souple eu égard au discernement du mineur, du moins pour les services les plus usuels qui lui feraient courir le moins de risque[105].

D’autre part, la question de l’oubli numérique des mineurs[106] se pose également. Plus exactement, il serait indiqué de faciliter l’exercice de ce droit afin de « permettre à la personne d’adapter son exposition numérique à l’évolution de sa personnalité depuis sa minorité »[107]. Peu important en ce sens, qu’il ait lui-même « consenti » au traitement de ses données, ou que celui-ci résulte de l’exercice de l’autorité parentale. Il n’est pas rare, en effet que les parents partagent eux-mêmes sur les réseaux sociaux les photos de leurs enfants[108].

Quoi qu’il en soit ce droit ne saurait être un absolu et sera nécessairement mis en balance avec la liberté d’expression et à l’information[109].

En somme, la loi 2014-038 recèle quelques imperfections dès sa conception initiale même sur des considérations qui sont d’importance pour l’effectivité et l’efficacité du dispositif qu’elle contient. Il reste qu’au-delà de sa rédaction initiale, d’autres facteurs externes ont aussi vocation à l’impacter.

2)       De manière extrinsèque : l’influence du RGPD

Dans le contexte global de la protection des données à caractère personnel, l’entrée en vigueur du RGPD est assurément un événement majeur. Néanmoins, si la prise en considération du RGPD semble inéluctable pour diverses raisons (a). Encore faut-il en déterminer la méthode de sa prise en considération (b).

a)   Les raisons de l’influence

Si l’on s’interroge sur les justificatifs de l’influence du RGPD sur la législation malgache, alors la première réponse qui vient à l’esprit tient dans un principe de cohérence. Faut-il le rappeler, le législateur malgache lui-même a exposé que la loi 2014-038 entendait mettre en place « un niveau de protection de données à caractère personnel adéquat au regard des législations en vigueur des principaux partenaires commerciaux de Madagascar »[110]. Dans cette perspective, il serait donc logique que la loi 2014-038 s’adapte aux nouveaux principes dégagés par les législations desdits partenaires commerciaux.

De surcroît, dans le contexte global de lutte d’influence entre le système européen de protection des données face au système américain[111], le choix du législateur malgache a été d’opter pour un système européen. C’est-à-dire, privilégier l’approche de la protection des données à caractère personnel plus comme un droit fondamental ou « essentiel »[112] aux termes de la loi, que l’approche mercantiliste. Là encore, la cohérence impliquerait donc que la loi malgache s’élève au niveau des nouveaux standards consacrés dans le groupe auquel il appartient[113].

Du reste, si dans une moindre mesure, cette exigence de cohérence peut s’apprécier comme une démarche voulue, en réalité il faut souligner que l’influence du RGPD se fait aussi de manière contrainte. D’un côté, il ne fait pas de doute que les accords commerciaux conclus par l’Union européenne imposeront les standards de protection de données dégagés par le RGPD[114].

De l’autre côté, le RGPD se signale par son application extraterritoriale[115]. Or si bien évidemment, des techniques classiques de droit international privé pouvaient permettre d’écarter son application[116], l’expérience montre que la véritable efficacité de l’extraterritorialité des lois tient dans un rapport de force économique.

En clair, voulue ou contrainte, l’influence du RGPD sur la loi malgache est certaine. Il reste à en déterminer la méthode.

b) La méthode de sa prise en considération

La première option qui s’offre au législateur malgache serait d’intégrer l’intégralité des avancées du RGPD dans la loi. Autrement dit à l’instar du droit français[117], il s’agirait pour le législateur d’adopter une loi ayant vocation à modifier la loi 2014-038 au regard des nouveaux standards du RGPD.

Cette option n’emporte toutefois pas notre conviction. D’abord, cela signifierait que la loi 2014-038 serait une loi mort-née alors même qu’elle a des qualités indéniables.

Mais surtout, si l’objectif est d’atteindre une adéquation à la législation européenne, en réalité « les pays dont la législation a été reconnue adéquate sont peu nombreux. »[118] Ce qui ne constitue pas pour autant un obstacle dirimant aux transferts des données. Étant entendu que le RGPD offre d’autres options[119].

Ce qui amène à conclure que l’influence du RGPD doit être accueillie de manière plus souple. En l’occurrence, il importe d’abord d’assurer une pleine effectivité à la loi 2014-038. En ce sens, la mise en place de la CMIL s’avère fondamentale. Une fois celle-ci pleinement opérationnelle, il s’agira alors pour elle de se forger une doctrine permettant d’intégrer, autant que faire se peut, les standards de protection du RGPD.

Du reste, les techniques contractuelles devraient permettre d’atteindre le niveau de protection des données exigé par le RGPD en bonne intelligence avec la loi 2014-038.

En somme, la loi 2014-038 est un texte de bonne qualité en ce qu’il permet de conjuguer le nécessaire traitement des données avec l’impératif de protection des droits des personnes concernées. Pour autant il est amené à évoluer en comblant certaines lacunes dans sa rédaction même. Et sans doute, sera-t-il contraint à évoluer, graduellement, eu égard aux récents développements en matière de droit de protection des données à caractère personnel et spécialement, à l’entrée en vigueur du RGPD.

Néanmoins, il faut préciser que si le texte est en vigueur il n’est pas pleinement effectif. La raison en est que la Commission Malgache de l’Informatique et des Libertés (CMIL), véritable pierre angulaire du dispositif, n’a pas encore été mise en place. Par ailleurs, d’importants décrets d’application du texte sont attendus. Cette effectivité partielle du texte convainc encore un peu plus de l’opportunité d’user de moyens complémentaires.

§ 2 – Protection complémentaire

Les développements précédents montrent déjà suffisamment que d’autres branches du droit sont sollicitées pour la protection des données à caractère personnel. De manière plus particulière encore, il faudra s’interroger si le droit de la consommation peut être mobilisé à son tour. (A) Toutefois, au-delà des textes, des instruments plus souples offriront sans doute la protection complémentaire recherchée à la loi 2014-038 (B).

A)  Le droit de la consommation

À l’heure d’Internet et des objets connectés, solliciter l’application du droit de la consommation ne semble plus susciter une quelconque hésitation[120]. D’un côté, il est vrai qu’ils permettent d’effectuer nombre de transactions et de services pour lesquels se font face un professionnel et un consommateur. De l’autre côté, l’utilisation quasi généralisée des réseaux sociaux est également propice à la qualification de contrat de consommation. Rappelons qu’en France, la convention passée entre un utilisateur et un réseau social a été qualifiée, dès 2014, de contrat de consommation par la commission des clauses abusives[121]. La jurisprudence[122] a par ailleurs confirmé cette qualification en invalidant une clause attributive de compétence stipulée dans la « Déclaration des droits et responsabilités » de Facebook au motif qu’elle était abusive.

À Madagascar, le droit de la consommation est encore à son balbutiement. Le pays s’est récemment doté d’une loi 2015-014 sur les garanties et la protection des consommateurs[123]. Elle recèle quelques dispositions qui pourraient intéresser le droit de la protection des données à caractère personnel. Il en est ainsi de celles relatives aux clauses abusives (1), ou encore, aux associations de consommateurs (2).

1) Les clauses abusives

Aux termes de l’article 43 de la loi 2015-014 précitée, on peut comprendre que les clauses abusives sont celles qui « ont pour objet ou pour effet de créer, au détriment du non professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties contractantes ».

Ainsi défini, on peut penser que ce type de clause puisse exister notamment entre le responsable de traitement et la personne concernée. En droit comparé[124], il en est ainsi en l’occurrence d’une clause exonératoire de responsabilité stipulée dans les conditions générales d’utilisation de Facebook « qui décline toute responsabilité en cas de pertes qui n’étaient pas raisonnablement prévisibles lors de la conclusion du contrat »[125].

Seulement, à la différence du droit français[126] le législateur malgache n’a pas prévu une commission permettant d’identifier des clauses pouvant avoir un caractère abusif dans des modèles de conventions les plus usitées entre professionnels et consommateurs.

Et surtout, là où le droit français se prononce pour la « neutralisation de ces clauses par le juge »[127], le texte malgache a une approche largement différente. En effet, aux termes de l’article 43 précité, ce ne sont pas seulement ces clauses qui ont vocation à être anéanties, ce sont carrément « les contrats, conclus entre professionnels et non-professionnels ou consommateurs pouvant contenir » de telles clauses qui « sont interdits ». Cette solution est assurément trop rigide et au demeurant peu fonctionnelle. Néanmoins la loi n’est pas dépourvue de solutions plus flexibles.

2)       Les associations de consommateurs

Probablement plus adaptées à la réalité quotidienne des consommateurs, les associations de défense des consommateurs peuvent, selon la loi, être « agréées, compte tenu de leur représentativité sur le plan national »[128]. Elles ont vocation à occuper une place centrale dans la problématique de la protection des données à caractère personnel.

En amont, on peut penser que ces associations peuvent avoir un rôle préventif. Il serait en effet opportun qu’elles contribuent à informer et donc à sensibiliser les consommateurs sur leurs droits, et les risques quant aux captations ou traitement de leurs données à caractère personnel[129].

En aval, la loi 2015-014 offre aux associations deux types d’actions. D’une part, elles peuvent agir dans l’intérêt collectif des consommateurs. L’article 47 de la loi précisant que « les associations […] peuvent […] exercer les droits reconnus à la partie civile relativement aux faits portant un préjudice direct ou indirect à l’intérêt collectif des consommateurs ». à cet égard, elles peuvent demander « le cas échéant sous astreinte, toute mesure destinée à faire cesser des agissements illicites ou à supprimer dans le contrat ou le type de contrat proposé aux consommateurs une clause illicite »[130]. Rien n’empêche de penser que ces hypothèses puissent concerner des données à caractère personnel.

D’autre part, les associations peuvent agir en représentation conjointe. C’est le cas, précise l’article 55 quand « plusieurs consommateurs, identifiés ont subi des préjudices individuels, qui ont été causés par le fait d’un même professionnel, et qui ont une origine commune, toute association agréée et reconnue représentative sur le plan national peut, si elle a été mandatée par au moins deux des consommateurs concernés, agir en réparation devant toute juridiction au nom de ces consommateurs ».

Cette solution paraît particulièrement adaptée à la protection des données à caractère personnel. Il est vrai que pris individuellement, les conséquences d’une violation de la législation sur la protection des données peuvent apparaître dérisoires. Le préjudice étant en l’occurrence « difficilement quantifiable »[131]. C’est bien tout l’intérêt de ce type d’action dans la mesure où il est susceptible de faire apparaître « l’impact collectif »[132] des manquements à la protection des données à caractère personnel, « notamment en cas de failles de sécurité »[133].

Ainsi le droit de la consommation offre des arguments à faire valoir en complément de la loi 2014-38. Précision faite que si les dispositions sur les clauses abusives semblent trop rigides, celles relatives aux associations offrent des perspectives intéressantes qu’il convient sans doute de développer. Gageons donc que les décrets d’applications de la loi sur la consommation soient rapidement pris et que des associations de protection des données à caractère personnel des consommateurs voient le jour. Du reste, en complément de la loi 2014-038, d’autres voies peuvent exister au-delà des textes.

B)  Les instruments souples

Il est certain que nombre de dispositions de la loi 2014-038 sont d’ordre public. Néanmoins, l’utilisation à bon escient des techniques contractuelles (1) doit contribuer à l’effectivité de la protection des données à caractère personnel. Il en est de même du recours à des instruments de soft law (2).

1) Le contrat

D’un côté, les techniques contractuelles peuvent être mises à contribution pour détailler les dispositions de la loi 2014-038.

En premier lieu. Dans les relations de la personne concernée avec le responsable du traitement. Il est possible que le responsable du traitement ait prévu une clause limitative de responsabilité sous réserve qu’elle ne soit pas abusive à l’égard de la personne concernée si tant est qu’ils se trouvent dans une relation de professionnel à consommateur[134].

En, outre il faut rappeler que la loi ouvre la possibilité d’une pluralité de responsables du traitement. Dans cette hypothèse, il serait donc bien indiqué qu’un contrat définisse les responsabilités des uns et des autres.

En second lieu. Dans les relations du responsable du traitement avec son sous-traitant. Dès l’abord, la loi dispose que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité »[135]. À cet égard, il est conseillé à juste titre aux parties « durant la phase précontractuelle (de) conclure un avant-contrat qui se résumerait en un cahier des charges détaillé permettant au responsable du traitement d’identifier ses besoins et de déterminer ses exigences, et au sous-traitant de démontrer […] son niveau de garantie »[136].

Il faut se rappeler en sus que la loi elle-même en son article 16 alinéa 4 précise que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données […] ».

Bien évidemment, cette disposition n’enlève rien au fait qu’à l’égard de la personne concernée, seul le responsable du traitement est tenu d’une obligation de sécurité des données[137]. Toutefois, dans les relations du responsable du traitement avec son sous-traitant, elle implique sans doute la rédaction d’une clause de confidentialité. Elle aura notamment vocation à déterminer les personnes habilitées à avoir accès aux données[138], et surtout à préciser les délicates questions de preuve de la violation de la confidentialité[139].

De même les protocoles de sécurité devront également être définis par une clause contractuelle.

Plus avant, s’il est exclu d’écarter toute responsabilité du responsable de traitement, les dispositions afférentes à ses obligations étant d’ordre public, rien n’empêche toutefois d’adjoindre par voie contractuelle un autre débiteur. On peut ainsi penser qu’une clause de solidarité entre le responsable du traitement et du sous-traitant puisse renforcer la protection des données à caractère personnel.

Il faut néanmoins observer que la possibilité de ces aménagements contractuels trouve une limite dans le fait que « de nombreux contrats entre responsable du traitement et sous-traitant sont des contrats dits d’adhésion »[140].

De l’autre côté, les techniques contractuelles peuvent être mises à contribution pour compléter la loi 2014-038.

Bien que récente, la loi 2014-038 n’a pas intégré toute l’évolution de la technologie qui influe fortement sur la protection des données. Le texte est en l’occurrence muet sur le cloud computing, la CMIL, faut-il le rappeler n’est pas encore en place, alors qu’on observe que dans la pratique des services de cloud computing sont déjà proposés.

C’est bien dans ce sens que la technique contractuelle devra permettre de mieux saisir et de définir les obligations des intervenants à une telle opération en matière de protection des données à caractère personnel. De même, une attention particulière devrait être prêtée à la question de la restitution des données.

2)       La soft law

À propos du transfert de données à caractère personnel à l’étranger, la loi précise en substance qu’à défaut de niveau de protection similaire, le transfert peut être néanmoins autorisé par la CMIL sous réserve que le responsable du traitement présente des garanties suffisantes[141]. Celles-ci pouvant résulter de clauses contractuelles ou de l’adoption de règles internes[142].

Toutefois, sans autres précisions du texte et à défaut d’instauration de la CMIL, on peut supposer en référence au droit comparé[143] que ces règles internes, si elles consistent en un code de conduite, s’apparentent plus aux règles internes contraignantes ou BCR[144], qui « par principe […] ont vocation à s’appliquer essentiellement aux multinationales »[145].

Or, si la soft law dont il est question ici concerne bien les codes de conduites et autres chartes éthiques, son domaine est plus vaste que celui du BCR. En réalité, à Madagascar, il y a depuis peu un certain intérêt pour la Responsabilité Sociale de l’entreprise ainsi que les codes de conduites et de chartes éthiques[146], il s’agit donc de saisir ces instruments pour y incorporer la protection des données à caractère personnel.

La démarche n’est pas dépourvue d’intérêt. Elle pourrait en effet permettre de développer une politique de protection des données qui soit plus en phase avec les différents secteurs concernés.

Du reste, même si a priori ces codes semblent non contraignants, il a déjà été démontré ailleurs[147] que ces instruments peuvent faire partie intégrante du règlement intérieur d’une entreprise.

Enfin, on peut considérer que l’existence de tels instruments dans l’entreprise soit à prendre en considération par la CMIL dans la délivrance d’un label tel qu’il est prévu à l’article 37 (tiret 15) de la loi.

En somme, la protection des données à caractère personnel à Madagascar n’en est encore qu’à son balbutiement. Toutefois, la Grande Île dispose désormais d’une loi fixant les outils adéquats pour favoriser le traitement des données tout en garantissant les droits des personnes concernées. Il importe de rendre pleinement effective cette loi. Et s’il est certain qu’elle est perfectible encore faut-il que sa mise à niveau se fasse en prenant en considération le nécessaire développement d’une doctrine propre à la CMIL. Du reste, la protection des données à caractère personnel ne peut être uniquement l’affaire de la loi éponyme. Le droit de la consommation doit être également mobilisé autant que les techniques contractuelles et les outils de la soft law. Ce sont là les premiers outils dont dispose Madagascar pour être pleinement un acteur de la société de l’information et non pas simplement subir « l’empire des données »[148].