De la protection des données à caractère personnel à
Madagascar
par
Tahina Fabrice RAKOTOARISON, Docteur en
droit, Université Paris 1 Panthéon-Sorbonne.
Très tôt le droit
coutumier malgache s’est soucié de la protection de la vie privée, du moins
dans l’une de ses composantes à savoir, le secret des correspondances.
L’article 157 du Code des 305 articles[1] disposait en effet que « celui qui lira un écrit
appartenant à un particulier, alors que l’intéressé n’aurait pas sollicité cette
lecture, sera puni d’une amende de dix bœufs et de dix piastres et s’il ne
peut payer, sera mis en prison à raison d’un “sikajy”
par jour jusqu’à concurrence du montant de l’amende ». Du reste, ce souci de
protection du secret des correspondances a été repris dans le droit moderne en
l’occurrence par l’article 187 alinéa 2 du Code pénal[2].
La vie privée n’était
donc abordée que de manière parcellaire et surtout répressive. De fait, la
notion n’a guère suscité d’intérêt dans les vastes entreprises de codification[3] au moment où la Grande île a recouvré son indépendance. Ainsi, on cherchera en vain
dans la législation malgache l’équivalent de l’article 9 du Code civil
français. Il faut toutefois nuancer. La vie privée n’en est pas pour autant
dépourvue de protection. L’article 204[4] de la Loi sur la Théorie générale des Obligations
(LTGO)[5], c’est-à-dire, le siège de la responsabilité
civile permet sans doute, au plan civil, d’en sanctionner les atteintes.
Si par la suite la notion
a pu être invoquée dans certains textes[6], il faudra attendre la loi 2016-029[7] portant code de la communication médiatisée[8] pour voir apparaître une définition de la vie
privée. On peut lire ainsi en son article premier alinéa 63 que la vie
privée s’entend de « tout ce qui se rapporte à l’intimité de la vie
d’autrui : familiale, au travail, aux loisirs, à l’image, sentimentale et
médicale ». Bien entendu, comme l’objet de la loi l’indique, elle n’y est
abordée que par rapport à ses éventuels conflits avec la communication et plus
exactement avec la liberté d’expression et d’information. Là encore, le texte
se singularise par sa dimension répressive[9].
La situation n’est guère
meilleure au regard de la jurisprudence. Il semblerait qu’à l’heure actuelle,
on ne puisse pas relever une décision de justice qui serait emblématique de la
protection de la vie privée. De même, à notre connaissance la doctrine ne s’est
pas encore spécialement intéressée à la notion[10].
Dans la continuité, si la
protection des données à caractère personnel peut être envisagée comme un
aspect de la protection de la vie privée sans que l’on puisse l’y réduire[11], il n’est dès lors guère étonnant que l’intérêt
qu’elle a suscité à Madagascar se manifeste bien tardivement. Mais il faut bien
en convenir, le contexte s’y prêtait de plus en plus.
D’abord sur le plan social et institutionnel. Même si on ne peut pas renier que la fracture
numérique soit encore une réalité tangible à Madagascar[12], on peut toutefois avancer que la Grande île n’a pas échappé au phénomène de
numérisation et de la vague Internet. On note ainsi qu’il existe un réel
engouement du grand public pour les réseaux sociaux et Internet[13].
Sur le plan
institutionnel, l’administration manifeste sa ferme volonté de s’engager dans
l’ère du numérique. En l’occurrence, il faut signaler, dans l’optique de la
modernisation de l’État, l’existence depuis 2005 d’un vaste programme pour la
numérisation de l’administration intitulé : Programme National de l’e-gouvernance (PNEG)[14]. La numérisation de certains documents
administratifs tels que le passeport biométrique ou encore le permis de
conduire biométrique s’inscrit également dans ce mouvement.
Puis, sur le plan économique. Dans le contexte intérieur, de manière générale
le commerce électronique commence à se développer. C’est la raison pour
laquelle le législateur a pris soin d’adapter le corpus législatif[15]. De manière plus particulière, il faut noter le
fulgurant développement des services via
le téléphone mobile. Spécialement, le « mobile
banking »[16] qui offre, à ne pas en douter, des solutions
concrètes et à moindre coût dans un pays où le taux de bancarisation de la
population est encore très faible[17].
Alors que dans un
contexte international, Madagascar par la qualité de la connexion locale ainsi
que d’autres facteurs (faible coût de la main-d’œuvre ou encore un faible
décalage horaire avec l’Europe et plus particulièrement la France) se
positionne clairement comme un partenaire fiable à de nombreuses sociétés
européennes spécialement françaises, pour l’externalisation. Autrement dit, la
sous-traitance d’un certain nombre de services tels que le service clientèle,
comptable ou encore le web manager.
De fait, un consommateur en France faisant une réclamation auprès d’un service
clientèle a de fortes probabilités d’avoir sur un opérateur malgache à l’autre
bout de la chaîne.
Ainsi, on voit bien que
la question des données à caractère personnel se niche au cœur de ces
situations diverses. La problématique de leur protection ne pouvait donc que se
poser : comment assurer la protection des données à caractère personnel à
Madagascar dans ce contexte susmentionné ?
À cet égard, Madagascar
s’est donc récemment doté d’une loi : 2014-038 sur la protection des
données à caractère personnel[18] qui comme son nom l’indique constitue l’épine
dorsale de la protection (§1) ainsi voulue. On se demande toutefois si au-delà
de cette loi, la protection des données à caractère personnel n’appelle pas des
moyens complémentaires (§2).
§ 1 – Protection par la loi 2014-038
La lecture de l’exposé des motifs de la loi 2014-038 permet de
comprendre que ce texte a entre autres ambitions de répondre à un enjeu
économique[19]. Cette visée mercantile peut être critiquable.
Elle permet néanmoins d’expliquer en grande partie le processus d’élaboration
de cette loi.
En effet, cet objectif
justifie le fait que le législateur ait fait siennes les expériences des
systèmes juridiques les plus élaborés en matière de protection des données à
caractère personnel. Plus précisément, un lecteur attentif de la loi
française 78-17[20], elle-même, impactée par le droit européen ne
sera pas décontenancé par la lecture de la loi malgache 2014-038.
Cette similitude se
reflète au regard de la définition des données à caractère personnel au sens de
la loi 2014-038[21] et au-delà, au regard de l’architecture générale
même de la loi. Cette dernière repose, selon le législateur sur « quatre
piliers »[22] : l’affirmation des principes fondamentaux
devant présider à la conception et à la mise en œuvre des traitements de
données à caractère personnel[23], la garantie des droits des personnes[24], l’institution d’une autorité indépendante[25] et enfin, l’instauration d’un régime de sanctions
qui se veut significatif[26]. Toutefois, il est semble-t-il utile, en
complément de ces quatre piliers clairement identifiés par le législateur,
d’ajouter un cinquième élément d’importance à savoir, la désignation d’un
délégué au traitement des données à caractère personnel[27].
Plus avant, on pourra dès
lors affirmer que cette méthode a fait que la loi 2014-038 soit
certainement de qualité (A). Elle n’en demeure pas moins perfectible (B).
A) Une loi de
qualité
Il ne s’agit pas de
recenser les qualités de la loi article par article. La démarche serait
fastidieuse et au demeurant probablement contre-productive. Jauger la qualité
de la loi à l’aune de l’objectif qui lui a été assigné s’avère plus pertinent.
En ce sens, on peut relever que tout en reconnaissant le rôle prééminent de
l’informatique dans le processus de développement[28], la loi 2014-038 entend protéger les droits
des personnes[29] contre tout traitement[30] abusif des données à caractère
personnel. On peut donc estimer que la qualité de la loi s’évincera de sa
capacité à promouvoir les traitements des données (1) tout en garantissant les
droits des personnes (2).
1)
Promouvoir les traitements
De prime abord, il
convient de préciser qu’au regard des dispositions de la loi, d’une part toutes
les données à caractère personnel ne peuvent faire l’objet d’un traitement. Le
traitement des données sensibles est interdit sauf disposition contraire de la
loi[31].
D’autre part, les données à caractère personnel relatives aux infractions et
condamnations ne peuvent faire l’objet d’un traitement que par les
juridictions, les autorités publiques gérant un service public, ou par les
auxiliaires de justice dans le cadre de l’exercice de leurs missions[32].
Hormis ces restrictions,
on peut affirmer que le texte recèle des dispositions plutôt favorables au
traitement des données à caractère personnel.
a) Au regard
des principes fondamentaux
Précisés dans les
articles 14 et suivant du texte, ils commencent opportunément par
l’affirmation des principes généraux relatifs aux données et aux traitements[33].
Autrement dit, il s’agit du principe de loyauté et de licéité de la collecte et
du traitement des données, du principe de finalité, celui de la qualité des
données et enfin celui de proportionnalité.
Mais encore, le
législateur a érigé le consentement de la personne concernée comme moyen de
légitimation de principe d’un traitement de données à caractère personnel non
sans avoir aménagé des exceptions[34].
À cet égard, il faut
principalement noter que la réalisation de l’intérêt légitime poursuivi par le
responsable du traitement ou par le destinataire a été reprise par la loi
malgache[35]. Ce
qui marque, à ne pas en douter la volonté de promouvoir les traitements. On
sait en effet que cette notion ouvre une brèche considérable au profit
notamment du responsable du traitement étant donné « son imprécision »[36].
Gageons toutefois qu’elle sera affinée par la Commission Malgache sur
l’Informatique et des Libertés (CMIL).
De même, les dispositions
sur le transfert des données à caractère personnel à l’étranger semblent aller
dans le même sens. Les données à caractère personnel peuvent faire l’objet d’un
transfert à l’étranger à condition toutefois que « l’État destinataire dispose
d’une législation assurant un niveau de protection des personnes similaire »[37]
à celle de la loi 2014-038. Cette condition s’apprécie au regard des circonstances
déjà précisées par le texte[38].
Toutefois, à défaut de
protection similaire le transfert n’est pas totalement exclu. D’une part, la
loi admet que la CMIL puisse néanmoins autoriser le transfert sous réserve de
garanties suffisantes[39]
offertes par le responsable du traitement telles que des clauses contractuelles
appropriées ou de l’adoption de règles internes.
D’autre part, le transfert de données peut exceptionnellement s’effectuer même
à défaut de protection similaire dans les hypothèses fixées par
l’article 20 alinéa 4.
On voit bien que ces
dispositions sont plutôt favorables à la circulation des données et à leur
traitement en offrant plusieurs outils entre les mains du responsable du
traitement. Au-delà des principes, la mise en œuvre du traitement lui-même
abonde dans le sens de la simplification.
b) Au regard de
la mise en œuvre du traitement
Dans cette phase, la CMIL
tient un rôle central. Rappelons qu’il s’agit de l’autorité indépendante
instituée par la loi[40]
et qui a vocation à « veiller à ce que les traitements des données à caractère
personnel soient mis en œuvre conformément aux dispositions »[41]
de celle-ci.
Parmi ses multiples
attributions, la CMIL est particulièrement sollicitée au moment des formalités
préalables à la mise en œuvre d’un traitement. En la matière, la loi a opéré
une distinction entre la mise en œuvre des traitements du secteur public et du
secteur privé. Dans le premier cas, « les traitements automatisés de données à
caractère personnel […] sont décidés par acte réglementaire après avis conforme
motivé »[42] de
la CMIL, à moins que lesdits traitements ne soient autorisés par la loi[43].
Alors que dans le second cas, c’est-à-dire, celui des traitements du secteur
privé, ceux-ci nécessitent une déclaration préalable auprès de la CMIL[44],
sauf s’ils présentent des risques particuliers pour les droits et libertés
auquel cas, une autorisation préalable de la CMIL est exigée[45].
Précisons toutefois que pour les traitements de données les plus courants, peu
importe qu’ils soient mis en œuvre dans le secteur public ou privé, la CMIL
aura à mettre en place des normes de simplifications[46]
voire, des dispenses de déclaration.
Par ailleurs, la
désignation d’un délégué à la protection des données à caractère personnel[47]
participe également de la simplification de la mise en œuvre du traitement. Le
délégué constitue en effet une sorte d’interface entre la CMIL et le
responsable du traitement. Il est dès lors compréhensible qu’en cas de
désignation d’un délégué, le responsable de traitement soit « dispensé de
l’accomplissement des formalités de déclaration »[48]
à moins que le traitement ne soit soumis à autorisation[49].
Au final, sauf dans les
cas des traitements nécessitant une autorisation, les formalités préalables à
la mise en œuvre des traitements se signalent par leur simplicité. Cela est
d’autant plus vrai dans le cas de la désignation d’un délégué à la protection
des données.
Ainsi, la circulation des
données et leur traitement sont favorisés par le texte aussi bien par le biais
des principes fondamentaux qu’il proclame que dans la mise en œuvre concrète du
traitement. Toutefois, l’équilibre suppose de garantir en même temps les droits
des personnes.
2)
Garantir les droits des personnes
Le traitement des données
à caractère personnel place face à face les personnes mettant en œuvre ledit
traitement et la personne concernée. Il en résulte donc que la garantie des
droits de cette dernière dépendra de la conjugaison des obligations des
personnes mettant en œuvre le traitement (a) avec les droits des personnes
concernées. (b)
a)
Les obligations des personnes mettant en œuvre le
traitement
Le responsable du
traitement est d’abord tenu d’une obligation d’informer[50].
Elle a une importance particulière puisqu’il s’agit d’un préalable à l’exercice
des droits de la personne concernée. Plus avant, l’obligation d’informer est
due par le responsable du traitement à la personne concernée aussi bien dans le
cadre d’une collecte directe qu’indirecte[51].
Le législateur malgache ayant donc clairement repris les évolutions du texte
français en la matière[52].
Toutefois, il faut aussi préciser que la personne concernée peut prendre
l’initiative de demander les informations visées à tout moment[53].
Par ailleurs, l’obligation d’informer est aussi due à « toute personne
utilisatrice des réseaux de communications électroniques »[54].
Quoi qu’il en soit, elle porte sur un large panel d’informations[55]
et n’est exclue que dans deux hypothèses restrictives[56].
Le responsable du
traitement est en outre tenu d’une obligation de sécurité[57].
On peut penser que même si le texte ne fait pas expressément référence à
l’obligation de confidentialité, celle-ci fait néanmoins partie intégrante de
l’obligation de sécurité. En effet, le responsable du traitement doit, entre autres,
« protéger le traitement ou les données »[58]
« contre […] la diffusion ou l’accès non autorisé »[59].
Par ailleurs, à juste
titre, le texte fait interdiction de prendre une décision de justice ou
administrative « impliquant une appréciation sur un comportement humain »[60]
sur la base d’un traitement informatique de données ayant dressé le profil de
l’intéressé[61].
Toutefois, dans la mise
en œuvre d’un traitement de données, le responsable du traitement peut faire
appel à un sous-traitant qui agira pour son compte et sous ses instructions[62].
Au regard du texte, celui-ci a l’obligation de présenter les garanties
suffisantes pour la mise en œuvre des mesures de sécurité et de confidentialité[63].
D’ailleurs, la loi précise opportunément que les obligations respectives du
responsable du traitement ainsi que de son sous-traitant doivent être dûment
indiquées dans le contrat[64].
b)
Les droits de la personne concernée
En premier lieu, le droit
de s’opposer à figurer dans un traitement[65]. Il peut s’exercer en principe[66] à tout moment et sans frais, sous réserve de
justifier d’un motif légitime[67] sauf en ce qui concerne les traitements à des
fins de prospection[68]. Bien entendu, la CMIL aura un rôle prééminent à
jouer en la matière puisqu’il lui appartiendra d’apprécier la légitimité du
motif en cas de contestation[69]. On peut penser à cet égard qu’il importe que le
motif légitime soit largement apprécié et joint utilement avec le droit de
rectification[70], de telle sorte qu’il puisse éventuellement
servir de fondement aux délicates questions de droit au
déréférencement, du reste non expressément consacré par la loi[71].
En second lieu, la
personne concernée jouit d’un droit d’accès aux données à caractère personnel
les concernant[72] et à leur traitement sous réserve, il va sans
dire, des demandes abusives[73] et des cas exceptés de l’article 23 in fine. Manifestement, le législateur a
entendu faciliter le droit d’accès à ces informations substantielles. En effet,
d’une part, l’exercice de ce droit se fait de manière gratuite et précise le
texte, il doit y être fait droit sans délai[74]. Ce qui en pratique peut s’avérer en réalité
délicat.
D’autre part, dans
l’exercice de ce droit d’accès, la CMIL s’est vu octroyer le pouvoir « d’ordonner
toutes mesures de nature à éviter »[75] des risques de dissimulation ou de disparition
des données. Cette disposition se justifie sans doute si l’on considère que
l’autorité indépendante jouit d’une proximité plus grande qu’une juridiction à
l’égard de la personne concernée. Toutefois, elle peut être source de difficultés.
On peut se demander ainsi quelles en seraient les modalités et au final, s’il
s’avère plus efficace de créer de tels pouvoirs au profit d’une autorité
indépendante que de s’appuyer sur des dispositions classiques du code de
procédure civile.
Quoi qu’il en soit, « en
complément naturel du droit d’accès »[76], le droit de rectification peut être mobilisé par
la personne concernée afin d’exiger du responsable du traitement que soient « rectifiées,
complétées, mises à jour, verrouillées ou effacées les données à caractère
personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées,
ou dont la collecte, l’utilisation la communication ou la conservation est
interdite »[77].
Précisons néanmoins que
les droits d’accès et de rectification ne peuvent être mobilisés que par la
personne concernée sauf exception[78].
On voit donc bien que le
législateur s’est efforcé à trouver un point
d’équilibre entre la nécessaire et utile circulation des données et donc, de
leur traitement avec l’impératif de protection des personnes concernées. Bien
entendu, cet équilibre doit faire l’objet d’un contrôle incombant en premier
lieu à la CMIL, mais le délégué à la protection des données y participe aussi.
Mais encore faut-il que dans la continuité, des sanctions significatives soient
encourues en cas d’inexécution des obligations incombant aux personnes mettant
en œuvre le traitement ou en cas de méconnaissance des droits des personnes.
Ainsi résumée, la loi 2014-038 est plutôt de bonne facture eu égard à
l’objectif susmentionné qu’on lui a assigné, il n’en reste pas moins qu’une
marge de progression peut être envisagée.
B) Une loi
perfectible
D’un côté, on peut
avancer que quand bien même la loi 2014-038 recèle des qualités certaines,
il n’en reste pas moins que, dans sa rédaction actuelle, c’est-à-dire, de
manière intrinsèque, si l’on ose dire, elle appelle quelques améliorations (1).
De l’autre côté, un facteur extrinsèque c’est-à-dire l’influence du RGPD[79] ne
saurait être ignoré (2).
1)
De manière intrinsèque
La loi 2014-38 a
autant réceptionné les qualités évoquées ci-dessusde
la loi française que ses éventuelles lacunes. À cet égard, on en retiendra deux
aspects qui nous semblent essentiels et sur lesquels la loi malgache gagnerait
à être précisée. Il s’agit d’une part des dispositions pénales (a) prévues par
le texte et d’autre part de la délicate question du mineur et des incapables
(b).
a)
Sur les dispositions pénales
Comme son homologue
français[80], le
législateur malgache a fait le choix d’insérer dans la loi 2014-038 un
certain nombre de dispositions pénales[81]
dans l’objectif évident de renforcer la protection des données à caractère
personnel. On sait pourtant qu’en droit français une partie de la doctrine
s’est interrogée sur l’opportunité de la démarche[82].
Il est vrai que l’efficacité des sanctions pénales en matière de protection des
données à caractère personnel demeure largement mitigée. Il a été notamment
fait observer que « les décisions, tant sur les articles 226-16 et
suivants que sur les articles R. 625-10 et suivants du Code pénal ne sont […]
pas très nombreuses, ce qui montre bien que la répression pénale dans le
domaine n’est pas très forte. »[83]À
cet égard, le rôle central de l’autorité indépendante dans sa mission de
contrôle de la mise en œuvre du traitement des données n’y est sans doute pas
étranger[84]. En
effet, les sanctions qu’elle peut prononcer sont probablement plus accessibles
que les sanctions pénales prononcées par une juridiction répressive.
Il reste que le
législateur malgache a prévu des peines qui se veulent relativement
significatives quant à leur quantum[85].
La plupart des infractions définies étant des délits.
Toutefois, il semble
qu’il y ait une faille importante dans ces dispositions pénales. Il faut se
souvenir en effet que selon les termes de la loi, le responsable du traitement
peut être aussi bien une personne physique qu’une personne morale[86].
En ce sens, l’efficacité recherchée du texte commanderait dès lors que le
responsable du traitement, quel qu’il soit, soit susceptible d’engager sa
responsabilité pénale. Or, c’est bien là que le bât blesse. La responsabilité
pénale des personnes morales n’est pas de droit commun à Madagascar.
S’il existe bien quelques
législations très récentes qui ont prévu une telle responsabilité[87],
celles-ci relèvent du droit spécial et surtout ces textes ont pris soin de préciser
aussi bien les conditions que les modalités de mise en œuvre d’une telle
responsabilité[88]. Ce
qui fait cruellement défaut dans la loi 2014-038. Il en résulte donc qu’en
l’état, les personnes morales échappent à l’empire de ces dispositions pénales.
Il importe dès lors, dans
un souci de cohérence, que le législateur modifie le texte et prévoit une
responsabilité pénale des personnes morales en en fixant les conditions et les
modalités et en adaptant les peines prévues.
À côté des dispositions
pénales, la question des mineurs et des incapables constitue une lacune
importante du texte.
b)
Sur les mineurs et les majeurs incapables
Il s’agit d’une
population particulièrement vulnérable aux risques que peut présenter la
société de l’information[89]
et donc, du traitement des données à caractère personnel. Pour autant, force
est de constater que la loi 2014-038 ne contient aucune disposition
spécifique à leur égard. Ce qui laisserait à penser qu’il suffirait de se
reporter aux dispositions de droit commun. Les difficultés ne sont pas pour
autant résolues.
S’agissant des majeurs
incapables, un regard sur le droit commun n’est pas véritablement d’un grand
secours. N’a-t-on pas fait remarquer à juste titre que « la situation des
majeurs incapables en droit positif malgache demeure assez obscure […] »[90] ?
C’est la raison pour laquelle, il faut encore probablement se référer en la
matière aux dispositions du Code civil français[91].
En tous les cas, au
regard de la protection de leurs données à caractère personnel, si l’on admet
volontiers que cette population puisse être considérée comme étant
particulièrement à risque, il reste que l’affirmation doit être nuancée. De
fait, si le consentement est la base de légitimation[92]
du traitement de leurs données, les règles de droit commun semblent
parfaitement suffisantes. Autrement dit, il suffira d’appliquer les
dispositions relatives aux mesures d’assistance générale ou spéciale[93]
ou le cas échéant, celles relatives à la tutelle[94].
Au demeurant, le
véritable enjeu à leur égard serait plutôt d’adapter certaines dispositions de
la loi, notamment celles afférentes au droit à l’information pour leur garantir
une effectivité de leurs droits[95].
Quant aux mineurs[96],
au regard du droit commun, une difficulté préalable doit être soulevée. À première
vue, il a été relevé que « les enfants sont nécessairement des mineurs, mais
les mineurs ne sont pas forcément des enfants. » Il est vrai que
l’article 15 de l’ordonnance 62-041[97]
fixe la majorité civile à vingt et un ans alors que, la loi 2007-023[98]
en son article deux dispose qu’« un enfant s’entend de
tout être humain âgé de moins de 18 ans. » On peut toutefois se demander s’il
n’y a pas une certaine contradiction entre ces deux textes. D’autant plus que
l’article 14 de la loi 2007-023 précitée précise que « l’autorité
parentale est l’ensemble des droits et devoirs attribués aux parents sur leur
enfant jusqu’à majorité ou émancipation par le mariage ». Il en résulte donc
que l’exercice de l’autorité parentale ne peut dépasser les 18 ans.
Qu’advient-il alors du mineur de 18 ans à 21 ans sauf à considérer que, de fait
la majorité est fixée à 18 ans ?
Une fois cela dit, la
problématique reste entière. À l’heure de la société de l’information,
l’exposition des mineurs aux objets connectés et Internet n’est pas anodine et
peut présenter des risques[99].
En ce sens, il serait indiqué de doter la loi 2014-038 de dispositions
spécifiques pour y faire face.
D’une part, la question
du « consentement numérique du mineur »[100]
se pose. Il est constant que le mineur ne peut faire seul que les actes de la
vie courante. Seulement, en droit français, il a été notamment jugé[101]
que l’inscription sur un réseau social n’est pas « un acte usuel de l’autorité
parentale pour lequel l’accord d’un seul des deux parents serait suffisant »[102].
Ce dont, on peut déduire qu’en théorie le mineur ou « l’enfant [ne] pouvait
faire tout seul »[103].
Mutatis mutandis, on dira donc qu’en
droit malgache en deçà de 18 ans, un tel acte relèverait de l’exercice de
l’autorité parentale[104].
Bien évidemment, cela ne correspond en rien à la réalité. D’où la nécessité de
fixer un seuil plus souple eu égard au discernement du mineur, du moins pour
les services les plus usuels qui lui feraient courir le moins de risque[105].
D’autre part, la question
de l’oubli numérique des mineurs[106]
se pose également. Plus exactement, il serait indiqué de faciliter l’exercice
de ce droit afin de « permettre à la personne d’adapter son exposition
numérique à l’évolution de sa personnalité depuis sa minorité »[107].
Peu important en ce sens, qu’il ait lui-même « consenti » au traitement de ses
données, ou que celui-ci résulte de l’exercice de l’autorité parentale. Il
n’est pas rare, en effet que les parents partagent eux-mêmes sur les réseaux
sociaux les photos de leurs enfants[108].
Quoi qu’il en soit ce
droit ne saurait être un absolu et sera nécessairement mis en balance avec la
liberté d’expression et à l’information[109].
En somme, la
loi 2014-038 recèle quelques imperfections dès sa conception initiale même
sur des considérations qui sont d’importance pour l’effectivité et l’efficacité
du dispositif qu’elle contient. Il reste qu’au-delà de sa rédaction initiale,
d’autres facteurs externes ont aussi vocation à l’impacter.
2)
De manière extrinsèque : l’influence du RGPD
Dans le contexte global
de la protection des données à caractère personnel, l’entrée en vigueur du RGPD
est assurément un événement majeur. Néanmoins, si la prise en considération du
RGPD semble inéluctable pour diverses raisons (a). Encore faut-il en déterminer
la méthode de sa prise en considération (b).
a) Les raisons
de l’influence
Si l’on s’interroge sur
les justificatifs de l’influence du RGPD sur la législation malgache, alors la
première réponse qui vient à l’esprit tient dans un principe de cohérence.
Faut-il le rappeler, le législateur malgache lui-même a exposé que la loi 2014-038
entendait mettre en place « un niveau de protection de données à caractère
personnel adéquat au regard des législations en vigueur des principaux
partenaires commerciaux de Madagascar »[110].
Dans cette perspective, il serait donc logique que la loi 2014-038
s’adapte aux nouveaux principes dégagés par les législations desdits
partenaires commerciaux.
De surcroît, dans le
contexte global de lutte d’influence entre le système européen de protection
des données face au système américain[111],
le choix du législateur malgache a été d’opter pour un système européen.
C’est-à-dire, privilégier l’approche de la protection des données à caractère
personnel plus comme un droit fondamental ou « essentiel »[112]
aux termes de la loi, que l’approche mercantiliste. Là encore, la cohérence
impliquerait donc que la loi malgache s’élève au niveau des nouveaux standards
consacrés dans le groupe auquel il appartient[113].
Du reste, si dans une
moindre mesure, cette exigence de cohérence peut s’apprécier comme une démarche
voulue, en réalité il faut souligner que l’influence du RGPD se fait aussi de
manière contrainte. D’un côté, il ne fait pas de doute que les accords
commerciaux conclus par l’Union européenne imposeront les standards de
protection de données dégagés par le RGPD[114].
De l’autre côté, le RGPD
se signale par son application extraterritoriale[115].
Or si bien évidemment, des techniques classiques de droit international privé
pouvaient permettre d’écarter son application[116],
l’expérience montre que la véritable efficacité de l’extraterritorialité des
lois tient dans un rapport de force économique.
En clair, voulue ou
contrainte, l’influence du RGPD sur la loi malgache est certaine. Il reste à en
déterminer la méthode.
b) La méthode de sa prise en
considération
La première option qui s’offre
au législateur malgache serait d’intégrer l’intégralité des avancées du RGPD
dans la loi. Autrement dit à l’instar du droit français[117],
il s’agirait pour le législateur d’adopter une loi ayant vocation à modifier la
loi 2014-038 au regard des nouveaux standards du RGPD.
Cette option n’emporte
toutefois pas notre conviction. D’abord, cela signifierait que la
loi 2014-038 serait une loi mort-née alors même qu’elle a des qualités
indéniables.
Mais surtout, si
l’objectif est d’atteindre une adéquation à la législation européenne, en
réalité « les pays dont la législation a été reconnue adéquate sont peu
nombreux. »[118] Ce
qui ne constitue pas pour autant un obstacle dirimant aux transferts des
données. Étant entendu que le RGPD offre d’autres options[119].
Ce qui amène à conclure
que l’influence du RGPD doit être accueillie de manière plus souple. En
l’occurrence, il importe d’abord d’assurer une pleine effectivité à la
loi 2014-038. En ce sens, la mise en place de la CMIL s’avère
fondamentale. Une fois celle-ci pleinement opérationnelle, il s’agira alors
pour elle de se forger une doctrine permettant d’intégrer, autant que faire se
peut, les standards de protection du RGPD.
Du reste, les techniques
contractuelles devraient permettre d’atteindre le niveau de protection des
données exigé par le RGPD en bonne intelligence avec la loi 2014-038.
En somme, la
loi 2014-038 est un texte de bonne qualité en ce qu’il permet de conjuguer
le nécessaire traitement des données avec l’impératif de protection des droits
des personnes concernées. Pour autant il est amené à évoluer en comblant
certaines lacunes dans sa rédaction même. Et sans doute, sera-t-il contraint à
évoluer, graduellement, eu égard aux récents développements en matière de droit
de protection des données à caractère personnel et spécialement, à l’entrée en
vigueur du RGPD.
Néanmoins, il faut
préciser que si le texte est en vigueur il n’est pas pleinement effectif. La
raison en est que la Commission Malgache de l’Informatique et des Libertés
(CMIL), véritable pierre angulaire du dispositif, n’a pas encore été mise en
place. Par ailleurs, d’importants décrets d’application du texte sont attendus.
Cette effectivité partielle du texte convainc encore un peu plus de
l’opportunité d’user de moyens complémentaires.
§ 2 –
Protection complémentaire
Les développements
précédents montrent déjà suffisamment que d’autres branches du droit sont
sollicitées pour la protection des données à caractère personnel. De manière
plus particulière encore, il faudra s’interroger si le droit de la consommation
peut être mobilisé à son tour. (A) Toutefois, au-delà des textes, des
instruments plus souples offriront sans doute la protection complémentaire
recherchée à la loi 2014-038 (B).
A) Le droit de
la consommation
À l’heure d’Internet et
des objets connectés, solliciter l’application du droit de la consommation ne
semble plus susciter une quelconque hésitation[120].
D’un côté, il est vrai qu’ils permettent d’effectuer nombre de transactions et
de services pour lesquels se font face un professionnel et un consommateur. De
l’autre côté, l’utilisation quasi généralisée des réseaux sociaux est également
propice à la qualification de contrat de consommation. Rappelons qu’en France,
la convention passée entre un utilisateur et un réseau social a été qualifiée,
dès 2014, de contrat de consommation par la commission des clauses abusives[121].
La jurisprudence[122]
a par ailleurs confirmé cette qualification en invalidant une clause
attributive de compétence stipulée dans la « Déclaration des droits et responsabilités »
de Facebook au motif qu’elle était abusive.
À Madagascar, le droit de
la consommation est encore à son balbutiement. Le pays s’est récemment doté
d’une loi 2015-014 sur les garanties et la protection des consommateurs[123].
Elle recèle quelques dispositions qui pourraient intéresser le droit de la
protection des données à caractère personnel. Il en est ainsi de celles
relatives aux clauses abusives (1), ou encore, aux associations de
consommateurs (2).
1)
Les clauses abusives
Aux termes de
l’article 43 de la loi 2015-014 précitée, on peut comprendre que les
clauses abusives sont celles qui « ont pour objet ou pour effet de créer, au
détriment du non professionnel ou du consommateur, un déséquilibre significatif
entre les droits et obligations des parties contractantes ».
Ainsi défini, on peut
penser que ce type de clause puisse exister notamment entre le responsable de
traitement et la personne concernée. En droit comparé[124],
il en est ainsi en l’occurrence d’une clause exonératoire de responsabilité
stipulée dans les conditions générales d’utilisation de Facebook « qui décline
toute responsabilité en cas de pertes qui n’étaient pas raisonnablement
prévisibles lors de la conclusion du contrat »[125].
Seulement, à la différence
du droit français[126]
le législateur malgache n’a pas prévu une commission permettant d’identifier
des clauses pouvant avoir un caractère abusif dans des modèles de conventions
les plus usitées entre professionnels et consommateurs.
Et surtout, là où le
droit français se prononce pour la « neutralisation de ces clauses par le juge »[127],
le texte malgache a une approche largement différente. En effet, aux termes de
l’article 43 précité, ce ne sont pas seulement ces clauses qui ont
vocation à être anéanties, ce sont carrément « les contrats, conclus entre
professionnels et non-professionnels ou consommateurs pouvant contenir » de
telles clauses qui « sont interdits ». Cette solution est assurément trop
rigide et au demeurant peu fonctionnelle. Néanmoins la loi n’est pas dépourvue
de solutions plus flexibles.
2)
Les associations de consommateurs
Probablement plus
adaptées à la réalité quotidienne des consommateurs, les associations de
défense des consommateurs peuvent, selon la loi, être « agréées, compte tenu de
leur représentativité sur le plan national »[128].
Elles ont vocation à occuper une place centrale dans la problématique de la
protection des données à caractère personnel.
En amont, on peut penser
que ces associations peuvent avoir un rôle préventif. Il serait en effet
opportun qu’elles contribuent à informer et donc à sensibiliser les
consommateurs sur leurs droits, et les risques quant aux captations ou
traitement de leurs données à caractère personnel[129].
En aval, la
loi 2015-014 offre aux associations deux types d’actions. D’une part,
elles peuvent agir dans l’intérêt collectif des consommateurs.
L’article 47 de la loi précisant que « les associations […] peuvent […]
exercer les droits reconnus à la partie civile relativement aux faits portant
un préjudice direct ou indirect à l’intérêt collectif des consommateurs ». à cet égard, elles peuvent demander « le
cas échéant sous astreinte, toute mesure destinée à faire cesser des
agissements illicites ou à supprimer dans le contrat ou le type de contrat proposé
aux consommateurs une clause illicite »[130].
Rien n’empêche de penser que ces hypothèses puissent concerner des données à
caractère personnel.
D’autre part, les
associations peuvent agir en représentation conjointe. C’est le cas, précise l’article 55
quand « plusieurs consommateurs, identifiés ont subi des préjudices
individuels, qui ont été causés par le fait d’un même professionnel, et qui ont
une origine commune, toute association agréée et reconnue représentative sur le
plan national peut, si elle a été mandatée par au moins deux des consommateurs
concernés, agir en réparation devant toute juridiction au nom de ces
consommateurs ».
Cette solution paraît
particulièrement adaptée à la protection des données à caractère personnel. Il
est vrai que pris individuellement, les conséquences d’une violation de la
législation sur la protection des données peuvent apparaître dérisoires. Le
préjudice étant en l’occurrence « difficilement quantifiable »[131].
C’est bien tout l’intérêt de ce type d’action dans la mesure où il est
susceptible de faire apparaître « l’impact collectif »[132]
des manquements à la protection des données à caractère personnel, « notamment
en cas de failles de sécurité »[133].
Ainsi le droit de la
consommation offre des arguments à faire valoir en complément de la
loi 2014-38. Précision faite que si les dispositions sur les clauses
abusives semblent trop rigides, celles relatives aux associations offrent des
perspectives intéressantes qu’il convient sans doute de développer. Gageons
donc que les décrets d’applications de la loi sur la consommation soient
rapidement pris et que des associations de protection des données à caractère
personnel des consommateurs voient le jour. Du reste, en complément de la
loi 2014-038, d’autres voies peuvent exister au-delà des textes.
B) Les
instruments souples
Il est certain que nombre
de dispositions de la loi 2014-038 sont d’ordre public. Néanmoins,
l’utilisation à bon escient des techniques contractuelles (1) doit contribuer à
l’effectivité de la protection des données à caractère personnel. Il en est de
même du recours à des instruments de soft
law (2).
1)
Le contrat
D’un côté, les techniques
contractuelles peuvent être mises à contribution pour détailler les
dispositions de la loi 2014-038.
En premier lieu. Dans les
relations de la personne concernée avec le responsable du traitement. Il est
possible que le responsable du traitement ait prévu une clause limitative de
responsabilité sous réserve qu’elle ne soit pas abusive à l’égard de la
personne concernée si tant est qu’ils se trouvent dans une relation de
professionnel à consommateur[134].
En, outre il faut
rappeler que la loi ouvre la possibilité d’une pluralité de responsables du
traitement. Dans cette hypothèse, il serait donc bien indiqué qu’un contrat définisse
les responsabilités des uns et des autres.
En second lieu. Dans les
relations du responsable du traitement avec son sous-traitant. Dès l’abord, la
loi dispose que « le sous-traitant doit présenter des garanties suffisantes
pour assurer la mise en œuvre des mesures de sécurité et de confidentialité »[135].
À cet égard, il est conseillé à juste titre aux parties « durant la phase
précontractuelle (de) conclure un avant-contrat qui se résumerait en un cahier
des charges détaillé permettant au responsable du traitement d’identifier ses
besoins et de déterminer ses exigences, et au sous-traitant de démontrer […]
son niveau de garantie »[136].
Il faut se rappeler en
sus que la loi elle-même en son article 16 alinéa 4 précise que « le
contrat liant le sous-traitant au responsable du traitement comporte
l’indication des obligations incombant au sous-traitant en matière de
protection de la sécurité et de la confidentialité des données […] ».
Bien évidemment, cette
disposition n’enlève rien au fait qu’à l’égard de la personne concernée, seul
le responsable du traitement est tenu d’une obligation de sécurité des données[137].
Toutefois, dans les relations du responsable du traitement avec son
sous-traitant, elle implique sans doute la rédaction d’une clause de
confidentialité. Elle aura notamment vocation à déterminer les personnes
habilitées à avoir accès aux données[138],
et surtout à préciser les délicates questions de preuve de la violation de la
confidentialité[139].
De même les protocoles de
sécurité devront également être définis par une clause contractuelle.
Plus avant, s’il est
exclu d’écarter toute responsabilité du responsable de traitement, les
dispositions afférentes à ses obligations étant d’ordre public, rien n’empêche
toutefois d’adjoindre par voie contractuelle un autre débiteur. On peut ainsi
penser qu’une clause de solidarité entre le responsable du traitement et du
sous-traitant puisse renforcer la protection des données à caractère personnel.
Il faut néanmoins
observer que la possibilité de ces aménagements contractuels trouve une limite
dans le fait que « de nombreux contrats entre responsable du traitement et
sous-traitant sont des contrats dits d’adhésion »[140].
De l’autre côté, les
techniques contractuelles peuvent être mises à contribution pour compléter la loi 2014-038.
Bien que récente, la
loi 2014-038 n’a pas intégré
toute l’évolution de la technologie qui influe fortement sur la protection des
données. Le texte est en l’occurrence muet sur le cloud computing, la CMIL, faut-il le
rappeler n’est pas encore en place, alors qu’on observe que dans la pratique
des services de cloud computing
sont déjà proposés.
C’est bien dans ce sens
que la technique contractuelle devra permettre de mieux saisir et de définir
les obligations des intervenants à une telle opération en matière de protection
des données à caractère personnel. De même, une attention particulière devrait
être prêtée à la question de la restitution des données.
2)
La soft law
À propos du transfert de
données à caractère personnel à l’étranger, la loi précise en substance qu’à
défaut de niveau de protection similaire, le transfert peut être néanmoins
autorisé par la CMIL sous réserve que le responsable du traitement présente des
garanties suffisantes[141].
Celles-ci pouvant résulter de clauses contractuelles ou de l’adoption de règles
internes[142].
Toutefois, sans autres
précisions du texte et à défaut d’instauration de la CMIL, on peut supposer en
référence au droit comparé[143]
que ces règles internes, si elles consistent en un code de conduite,
s’apparentent plus aux règles internes contraignantes ou BCR[144],
qui « par principe […] ont vocation à s’appliquer essentiellement aux
multinationales »[145].
Or, si la soft law dont
il est question ici concerne bien les codes de conduites et autres chartes
éthiques, son domaine est plus vaste que celui du BCR. En réalité, à
Madagascar, il y a depuis peu un certain intérêt pour la Responsabilité Sociale
de l’entreprise ainsi que les codes de conduites et de chartes éthiques[146],
il s’agit donc de saisir ces instruments pour y incorporer la protection des
données à caractère personnel.
La démarche n’est pas
dépourvue d’intérêt. Elle pourrait en effet permettre de développer une
politique de protection des données qui soit plus en phase avec les différents
secteurs concernés.
Du reste, même si a priori ces codes semblent non
contraignants, il a déjà été démontré ailleurs[147]
que ces instruments peuvent faire partie intégrante du règlement intérieur
d’une entreprise.
Enfin, on peut considérer
que l’existence de tels instruments dans l’entreprise soit à prendre en
considération par la CMIL dans la délivrance d’un label tel qu’il est prévu à l’article 37
(tiret 15) de la loi.
En somme, la protection
des données à caractère personnel à Madagascar n’en est encore qu’à son
balbutiement. Toutefois, la Grande Île dispose désormais d’une loi fixant les
outils adéquats pour favoriser le traitement des données tout en garantissant
les droits des personnes concernées. Il importe de rendre pleinement effective
cette loi. Et s’il est certain qu’elle est perfectible encore faut-il que sa
mise à niveau se fasse en prenant en considération le nécessaire développement
d’une doctrine propre à la CMIL. Du reste, la protection des données à
caractère personnel ne peut être uniquement l’affaire de la loi éponyme. Le
droit de la consommation doit être également mobilisé autant que les techniques
contractuelles et les outils de la soft law. Ce sont là les premiers outils dont dispose
Madagascar pour être pleinement un acteur de la société de l’information et non
pas simplement subir « l’empire des données »[148].
[1] Le « Code des 305 articles », promulgué sous Ranavolana II en 1881,
est considéré comme un des codes majeurs du droit coutumier malgache ; pour la codification en droit malgache, v. Ramarolanto-Ratiaray,
« La codification : l’expérience malgache », RJOI 2004.95
égal. F. À Razafindrastima,
Entre droit français et coutumes
malgaches : les magistrats de la Cour d’appel de Madagascar 1896-1960,
LGDJ, Fondation Varenne 2011, préf. Bernard Durand, avant-propos Lucile Rabearimanana,
spéc. p. 129 et ss.
[2] « En dehors des cas prévus au paragraphe premier du présent article, toute
suppression, toute ouverture de correspondance adressée à des tiers, faite de
mauvaise foi, sera punie d’un emprisonnement de six jours à un an et d’une
amende de 100 000 Ariary à 900 000 Ariary ou de l’une de ces deux peines
seulement ».
[3] Sur la codification V. not. Ramarolanto-Ratiaray
art. préc.
[4] Art. 204 : « Chacun est responsable du dommage causé par sa
faute, même de négligence ou d’imprudence ».
[5] L. no 66-003, JO 1966,
p. 1529, erratum JO 1966, p. 1657
erratum JO 1967 p. 35 – erratum JO 1968 p. 2229, modifiée
et complétée par la loi no 2015-036 du 3 février 2016, JO no 3674
du 7 mars 2016, p. 1625.
[6] V. not. Loi 2007-023 sur les droits et
la protection des enfants JO no 3163 du 28 janvier 2008, p. 158,
article 8 : « Aucun
enfant ne peut être soumis à une ingérence arbitraire ou illégale dans sa vie
privée, sa famille, son foyer ou sa correspondance, ni des atteintes à son
honneur ou à sa réputation ».
[7] Partiellement abrogée par la loi 2017-011
portant politique nationale du cinéma et de l’image animée en son article 92 :
« Toutes les dispositions antérieures contraires
à la présente loi sont et demeurent abrogées notamment : (point 2) :
toutes les dispositions relatives à la cinématographie prévues dans la loi no 2016-029
du 14 juillet 2016 portant code de la communication médiatisée, notamment les dispositions
de son titre IX ».
[8] JO no 3711
du 12 octobre 2016, p. 5863.
[9] V. not. son art. 20 al.
3 : « Toute atteinte à la vie privée commise […] est
punie d’une amende de 1 000 000 à 6 000 000 Ariary ».
[10] Toutefois sur des aspects particuliers,
relatifs au droit de l’enfant, v. not. F. Esoavelomandroso in « Droits et protection de l’enfant à Madagascar à l’ère d’Internet », Annales
Droit NS 2018, no 8, pp. 57-73 spéc. 68.
[11] En dernier lieu V. not. A. Basdevant et J-P. Mignard, L’empire des données, Don Quichotte 2018.
[12] Le taux d’accès à Internet serait de 4,30 %
de la population soit 1 071 380 de personnes : statistiques citées
par la Professeure F. Esoavelomandroso,
art. préc., spéc. 57.
[13] En ce sens, ibid, p. 58 et les statistiques
citées.
[14] V. Z. A. Rasamoelina, Les réformes des politiques publiques à Madagascar, IMODEV 2018,
accessible à :
http://cms.imodev.org/nos-activites/afrique/madagascar/les-reformes-de-politiques-publiques-a-madagascar/.
[15] Not. L. no 2014-024 sur les
transactions électroniques, JO no 3618 du 11 mai 2015, p. 2274 ; égal L. no 2014-025 JO no 3618
du 11 mai 2015, p. 2284.
[16] V. par exemple sondage réalisé par la Revue Stileex,
« Mobile Money le plus utilisé à Madagascar » : https://stileex.xyz/mobile-money-madagascar.
[17] Ce taux oscille entre 4 % et de 5 %.
V. Banque centrale de Madagascar : www.banque-centrale.mg égal, A. Rakotomanga, « Les malgaches et leurs banques : plongée
dans un monde très peu connu » Revue stileex : https://stileex.xyz/malgaches-banques/.
[18] JO no 3630 du 20 juillet
2015. P.3272, disponible sur http://www.cnlegis.gov.mg/.
[19] « […] mettre en place […] un niveau de protection de données à caractère
personnel adéquat au regard des législations en vigueur des principaux
partenaires commerciaux de Madagascar ».
[20] Loi 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés.
[21] Aux termes de l’article 7 de la loi 2014-038 :
« Une donnée à caractère personnel est toute information
relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un nom, un numéro
d’identification ou à un ou plusieurs éléments qui lui sont propres. Ces
éléments sont notamment physiques, physiologiques, psychiques, économiques,
culturels ou sociaux. »
[22] V. exposé des motifs de la loi 2014-038.
[23] Art. 14 et s.
[24] Art. 22 et s.
[25] Art. 28 et s.
[26] Art. 55 et s.
[27] Art. 51 et s.
[28] V. exposé des motifs : « L’informatique, les technologies de l’information
ou l’e-technologie constituent aujourd’hui un facteur important du
développement ».
[29] Art. premier : « La présente loi a pour objet de protéger les
droits des personnes en matière de traitement des données à caractère
personnel. »
[30] Défini par l’article 8 comme « […] toute opération ou processus d’opérations
y compris manuelles portant sur la collecte, l’enregistrement, l’utilisation,
la communication de telles données, quel que soit le procédé utilisé et
notamment l’organisation, l’élaboration, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, la diffusion ou toute autre forme
de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le
verrouillage, l’effacement ou la destruction » ; comp art. 2 al.
2 L. française 78-17 du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés et Art 4-2) RGPD.
[31]Art. 18.
[32] Art. 19.
[33] Art. 14.
[34] Art. 17.
[35] Art. 17,5
[36] L. Grynbaum, C. Le
Goffic et I. Morlet-Haidara,
Droit des activités numériques, 1re
éd, Dalloz 2014, no 1119, p. 808 ; également JC Communication,
Fasc. 932 : Données à caractère
personnel – conditions de licéité des traitements de données à caractère
personnel, spéc. no 71.
[37] Art. 20 al.
1er.
[38] Art. 20 al.
2 comp. D. Kabré, art. préc.
spéc. 646 no 13
à propos de l’Acte additionnel de la CEDEAO qui « reste muet sur les critères d’appréciation de la protection suffisante ».
[39] Art. 20 al.
3.
[40] Art. 28 al.1er.
[41] Ibid.
[42] Art. 44 al.
1er.
[43] Ibid.
[44] Art. 45.
[45] Art. 46.
[46] Art. 47.
[47] Art. 51.
[48] Art. 52.
[49] Art. 52 in fine.
[50] Le texte évoque plutôt un droit d’être
informé au titre des droits des personnes, mais en réalité ce droit mets bien à
la charge de la personne mettant en œuvre le traitement une obligation
d’informer v not. A. Debet,
J. Massot, N. Metallinos op.cit. spec. p. 566 et s.
[51] Art. 27 al.
1er et al. 5.
[52] V. Jcl. Communication,
Fasc 940 : Données à caractère personnel
— Obligations des personnes mettant en œuvre des traitements des données à
caractère personnel et droits des personnes concernées., spéc. no 19, R. Perray.
[53] Art. 27 al.
2.
[54] Art. 27 al.
3.
[55] Art. 27 al.
1er.
[56] Art. 27 al.
4 et art. 27 in fine.
[57] Art. 15.
[58] Art. 15 al.
2.
[59] Ibid.
[60] Art. 3.
[61] Ibid.
[62] Art. 16.
[63] Art. 16 al.
3.
[64] Art. 16 al.
4.
[65] Art. 22.
[66] Art. 22 al. 3 prévoit des exceptions « lorsque le traitement répond à une obligation
légale ou lorsque l’application de ces dispositions a été écartée par une
disposition expresse de l’acte autorisant le traitement ».
[67] Art. 22 al.
1er.
[68] Art. 22 al.
2.
[69] Art. 22 al. 1er.
[70] Toutefois infra
(droit de rectification).
[71] Comp.
Affaire Google spain
not. Aff C-131/12, Google spain c/Agencia
Espanola de Proteccion de Datos, AJDA
2014.1147 chron. M. Aubert,
E. Broussy
et H. Cassagnabère.
[72] Art. 23.
[73] Art. 24.
[74] Art. 23 al.
3.
[75] Art. 23 al. 6.
[76] A. Debet, J. Massot,
N. Metallinos,
Informatique et libertés, La protection
des données à caractère personnel en droit français et européen, Lextenso
2015, p. 594, no 1423.
[77] Art. 25.
[78] Cf. art. 26, « Droits d’accès et de rectification indirects ».
[79] Règlement 2016/679, Règlement Général
sur la Protection des Données.
[80] Art. 226-16 et s., CP Français.
[81] Art. 61 à 73.
[82] Not A. Lepage,
« Réflexions de droit pénal sur la loi du 6 août
2004 relative à la protection des personnes à l’égard des traitements de
données à caractère personnel », Droit pénal, no 3,
mars 2005, étude 5.
[83] A. Debet, J. Massot, N. Metallinos,
op.cit. spec.172, no 346.
[84] En ce sens, A. Lepage art. préc. spéc. no 2.
[85] Art. 61 et s.
[86] Art. 9.
[87] Loi 2014-006 sur la lutte contre la
cybercriminalité, JO no 3574 du 8 septembre 2014 p. 3478 ; Loi 2016-020 sur la lutte contre la
corruption, JO no 3711 du 12 octobre 2016, p. 5838.
[88] Not. Art. 35 et 36, L. 2014-006 préc.
[89] En ce sens, Th. Douville, « La protection des données à caractère personnel des mineurs et des
majeurs protégés », RLDC,
septembre 2018, no 162, pp. 42-47, spéc.
no 3.
[90] Ravaka Andrianaivotseheno,
« La protection des incapables en droit positif
malgache : quel véritable statut civil ? », Annales
droit Nouvelle série 2013, no 2, pp. 9-34, spéc. 20.
[91] Sur cette possibilité en droit malgache cf.
Cour suprême de Madagascar, I. Taybaly c/m.Hassan Moize Raza, 04 mai 2007 in Jugements
commentés du Tribunal de Commerce d’Antananarivo, Jurid’ika 2008 T.1
p. 3 et s., note Ramarolanto-Ratiaray.
[92] Plus nuancée A. Debet, « Le consentement dans le RGPD : rôle et
définition », CCE
2018, Dossier 9 spéc. 4.
[93] Art. 459 al. 2 C. civ.
[94] Ibidem.
[95] En ce sens Th. Douville, art. préc. spéc. no 11.
[96] Le mineur s’entend « d’une personne qui n’a pas encore atteint l’âge
de la majorité » : Ph. Bonfils
et A. Gouttenoire,
Droit des mineurs, Dalloz 2014,
2e éd., 7, no 17.
[97] Ordonnance 62-041 relative aux
dispositions générales de droit interne et de droit international privé, JO 28
septembre 1962 no 244, p. 1989.
[98] Loi no 2007-023 sur les
droits et la protection des enfants, JO 28 janvier 2008, no 3163,
p. 158.
[99] Not F. Esoavelomandroso, « Droit et protection de l’enfant à Madagascar à
l’ère d’Internet », Annales
Droit NS 2018, no 8, pp. 57-73, spéc. 63 et ss.
[100] Th. Douville préc.
spéc no 6 ; égal. B. Charrier,
« Le consentement exprimé par les mineurs en
ligne », Dalloz
IP/IT 2018, no 6.333 et ss.
[101] Not. CA. Aix-en-Provence, 6e
Ch C, 2 sept 2014 no 13/19371 : JurisData no 2014-019786,
JCP. G 2014.1091.
[102] A. Debet, « Le consentement dans le RGPD : rôle et définition », préc. spéc. no 6.
[103] Ibid.
[104] Art. 14, L. 2007-023 préc.
[105] Voir en ce sens, B. Charrier, « Le consentement exprimé par les mineurs en ligne », Dalloz,
IP/IT, 2018, no 6, p. 333 et s.
[106] O. Foret,
« Le droit à l’oubli des mineurs », Dalloz
IP/IT. 2018. 350.
[107] Th. Douville, art. préc.
no 7.
[108] V. not. CA
Versailles, 2e Ch. sect 1, 25 juin
2015 no 13/08349 CCE no 9,
septembre 2015 comm.71 obs
A. Lepage. Égal. F. Esoavelomandroso, « Droits et protection de l’enfant […] », préc. spéc. 69.
[109] Th. Douville, préc.
no 7.
[110] V. exposé des motifs.
[111] V. not. A. Banck, D. Rahmouni, « Le RGPD, nouvel outil de soft law de l’Europe dans le numérique », RLDI 2018,
no 151, pp. 54-60.
[112] V. exposé des motifs.
[113] Il faut également rappeler ici les termes de
l’exposé des motifs de la loi 2014-038 « il convient de noter que Madagascar a participé à la Première Conférence
des Commissaires à la protection des données de la Francophonie et à
l’Assemblée constitutive de l’Association des Autorités francophones de
protection des donnés à caractère personnel […] ».
[114] A. Banck et D. Rahmouni, préc.
loc. cit.
[115] Art. 3 du RGPD.
[116] Not. L. D’Avout, « L’extraterritorialité du droit dans les relations d’affaires », JCP
éd. G 2015, doctr. 1112, spéc.
no 13 et ss.
[117] L. no 2018-493 du 20 juin
2018
[118] A. Banck, D. Rahmouni,
art. préc, loc. cit.
[119] Art. 46 sur les transferts moyennant des
garanties suffisantes ou encore art. 47 sur les règles d’entreprise
contraignantes.
[120] Déjà M. Vivant,
« La protection du cyberconsommateur, entre
tentations, tensions et hésitations » in Études de droit de la
consommation, Liber Amicorum Jean Calais-Aulois, Dalloz 2004, pp.1151-1158,
spéc. 1152 no 2.
[121] Recommandation no 2014-02 du
7 novembre 2014.
[122] CA. Paris 12 février 2016 no 15/08624, Dalloz IP/IT 2 016 214, obs. S. André et C. Lallemand.
[123] JO no 3647
du 26 octobre 2015, p. 4602.
[124] F. Jacomino,
« Mise en conformité des conditions générales
d’utilisation de Facebook : la Commission européenne s’impatient », AJ.
Contrat, 2018, 521.
[125] Ibidem.
[126] Art L. 822-4 du C. cons.
[127] F. Jacomino,
art. préc. loc. cit. et la
jurisprudence citée.
[128] Art. 46.
[129] En ce sens, S. Bernheim-Desvaux, M. Favreau,
V. Nicolas et alii, « La
consommation d’objets connectés, un marché économique d’avenir », CCC
no 7, juillet 2018, étude 9, spéc. no 9.
[130] Art 48.
[131] C. Zolynski,
« Les nouveaux contours de l’action de groupe et
de l’action collective au lendemain de la loi pour la protection des
données : un empowerment
renforcé », Dalloz
IP/IT.2018.470 ; Adde X. Delpech,
« Protection des données personnelles — Action
en justice – L’action de groupe renforcée », Juris Associations 2018,
no 581, p. 7.
[132] Ibidem.
[133] Ibid.
[134] Supra.
[135] Art 16 al. 3.
[136] L. Simon
et A. Bounedjoum, « RGPD : quelles règles en matière de
responsabilité et quels impacts sur les contrats ? », AJ. Contrat 2018.
172.
[137] En ce sens : G. Haas, A. Dubarry,
« Confidentialité et protection des données », Dalloz,
IP/IT.2017.322.
[138] Ibidem.
[139] V. sur ce point not. W. Dross, Clausier, LexisNexis 2016, 3e éd. V.
Confidentialité, spéc.190.
[140] L. Simon
et A. Bounedjoum, art. préc., loc.cit.
[141] Art 20 al. 3.
[142] Ibidem.
[143] Jcl Administratif, Fasc 274-30 : Informatique, données à caractère personnel,
formalités préalables à la mise en œuvre d’un traitement de données à caractère
personnel, 31 décembre 2016 spéc. no 121, R. Perray.
[144] Binding
Corporate Rules.
[145] Jcl Administratif, Fasc 274-30 : Informatique, données à caractère personnel,
formalités préalables à la mise en œuvre d’un traitement de données à caractère
personnel, 31 décembre 2016 spéc. no 121, R. Perray.
[146] V. T.F Rakotoarison,
Du secret des affaires, étude de droit
comparé français-malgache, Th. Paris 2018, dir. Ph Delebecque et
Ramarolanto-Ratiaray, p.155 no 275 et s.
[147] Ibidem. p. 157 no 280.
[148] A. Basdevant
et J-P Mignard, op.cit.