Comprendre la Protection des Données Personnelles au Burkina Faso

COMPRENDRE LA PROTECTION DES DONNÉES PERSONNELLES AU BURKINA FASO

🔎 Tout savoir sur la CIL, les lois sur les données personnelles au Burkina Faso et les droits des citoyens et les dangers pour les entreprises

Introduction

Déclarer vos traitements de données personnelles auprès de la Commission de l’informatique et des libertés (“CIL”) est obligatoire au Burkina Faso si votre start-up traite des données à caractère personnel.

La loi n°001-2021/AN portant protection des personnes à l’égard du traitement des données à caractère personnel en date du 30 mars 2021 (la « Loi n°001-2021 ») prévoit en effet, des obligations à votre charge lorsque vous traitez des données personnelles ou des données sensibles. Elle a pour objet de protéger les droits et libertés fondamentaux des personnes physiques en matière de traitement de leurs données à caractère personnel.

Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Quelles sont mes autres obligations en qualité de start-up en application de cette Loi n°001-2021 ? Si vous ne savez pas répondre à ces questions, cet article élargira considérablement vos connaissances sur le sujet.

A qui la Loi n° 2013-450 s’applique-t-elle ?

La Loi n°001-2021 s’applique :

aux traitements automatisés ou non de données à caractère personnel, dont le responsable de traitement ou sous-traitant est établi au Burkina Faso ou sans y être établi, relève du Burkina Faso selon le droit international public.
Autrement dit, la Loi n°001-2021 vous est applicable si votre responsable de traitement est basé au Burkina Faso et traite des données à caractère personnel à l’instar des noms, adresses ou numéros de téléphone de vos clients. S’il n’est pas basé au Burkina Faso, il peut relever du Burkina Faso en vertu d’une convention internationale qu’aurait par exemple ratifié le Burkina Faso.
au responsable de traitement ou au sous-traitant non établi sur le territoire du Burkina Faso, qui met en œuvre des opérations de traitement à partir du territoire national, à l’exclusion des données de transit.

A qui la Loi n° 2013-450 ne s’applique-t-elle pas ?

La Loi n°001-2021 ne s’applique pas :

aux traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données aux seules fins de permettre aux autres destinataires du service, le meilleur accès possible aux informations, sauf en ce qui concerne leur mise à jour et leur sécurité ;
aux traitements de données à caractère personnel effectués aux seules fins littéraires et artistiques ou de journalisme, dans le respect des règles déontologiques et éthiques de ces professions, des mesures de sécurité assurant le secret des sources journalistiques, ainsi que des règles de modération applicables aux forums de discussion mis en œuvre par des éditeurs d’informations journalistiques.

Qu’est-ce que la protection de données à caractère personnel ?

Qu’est-ce qu’une donnée personnelle au sens de la loi Burkinabè ?

D’après l’article 5 de la Loi n°001-2021, une donnée personnelle désigne « toutes informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification, à un ou plusieurs élément(s) propre(s) à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

Cela peut inclure par exemple les informations suivantes : nom, adresse, numéro de téléphone, adresse e-mail, date de naissance, lieu de travail, habitudes d’achat, données de localisation etc.

Comment déterminer si ma startup réalise un traitement de données personnelles selon la Loi n°001-2021 ?

Aux termes de l’article 5 de la Loi n°001-2021, un traitement des données à caractère personnel désigne « toute opération ou ensemble d’opérations effectuée à l’aide de procédés automatisés ou non et appliquée à des données à caractère personnel, tels que la collecte, l’organisation, la conservation, l’adaptation, la modification, la sauvegarde, la copie, la consultation, l’enregistrement, l’extraction, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, le verrouillage, le cryptage, l’effacement ou la destruction ».

Vous pouvez donc (sous réserve de quelques exceptions) être considéré comme réalisant un traitement de données personnelles si vous réalisez une des opérations visées ci-dessus.

Parler à un expert en protection des données personnelles au Burkina Faso

INSCRIPTION

Quelles sont les obligations à respecter au regard de la Loi n°001-2021 lorsque je réalise un traitement de données personnelles ?

Quelles sont les catégories de traitements exemptées de l’accomplissement de formalités préalables au Burkina Faso ?

Vous êtes exemptés de formalités préalables auprès de la CIL pour les traitements de données personnelles :

dont la finalité particulière se limite à assurer la conservation de documents d’archives ;

mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, dès lors que ces traitements correspondent à l’objet de cette association ou de cet organisme, qu’elles ne concernent que leurs membres et qu’elles ne doivent pas être communiquées à des tiers sans leur consentement.

Quelles sont les formalités préalables à la mise en œuvre du traitement des données à caractère personnel à respecter au Burkina Faso ?

Le traitement de données à caractère personnel (sous réserve des exemptions ci-dessus) est préalablement soumis, soit à une :

demande d’avis ;
demande d’autorisation ;
déclaration normale ;
déclaration simplifiée.

Comment déterminer la formalité qui s’applique au traitement de données que vous effectuez ?

Vous devez soit :

effectuer une déclaration normale si le traitement de données envisagé ne nécessite pas (i) une autorisation (voir point 2 ci-après) ou (ii) un acte législatif ou réglementaire (voir point 3 ci-après) ou n’entre pas dans le périmètre des traitements exemptés (listés ci-dessus).
obtenir une autorisation préalable si le traitement envisagé porte sur :

des données génétiques ou biométriques dans le secteur privé et sur la recherche dans le domaine de la santé ;
des données relatives aux infractions, condamnations ou mesures de sûreté dans le secteur privé ;
une interconnexion de fichiers ;
un numéro national d’identification ou tout autre identifiant de la même nature dans le secteur public ou privé ;
des données biométriques dans le secteur privé ;
des données ayant un motif d’intérêt public, notamment ceux destinés à des fins historiques, statistiques ou scientifiques ;
l’aide à la décision administrative ou privée, impliquant une appréciation sur un comportement humain, donnant une définition du profil ou de la personnalité de l’intéressé ou reposant sur des techniques d’intelligence artificielle à des fins prédictives ; et
les transferts de données vers un pays étranger.

obtenir une décision prise par acte législatif ou réglementaire lorsque les traitements des données sont opérés pour le compte d’un acteur public (Etat, établissement public, collectivité territoriale) ou d’une personne morale de droit privé gérant un service public. Plus précisément, il s’agit des traitements qui portent sur :

la sûreté de l’Etat, la défense ou la sécurité publique ;
la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
le recensement de la population ;
les données à caractère personnel qui révèlent les convictions ou activités religieuses, philosophiques, politiques, syndicales, ethniques, la vie sexuelle, la race, la santé et les mœurs, les données génétiques ou biométriques, les mesures d’ordre social, les poursuites, les sanctions pénales ou administratives ; et
le traitement de salaires, pensions, impôts, taxes et autres liquidations.

Quelle que soit la démarche qui vous est applicable, votre startup doit respecter la procédure mise en place par la CIL.

Quel est le contenu de la déclaration préalable et quelles en sont les modalités ?

La déclaration préalable peut être adressée à la CIL par voie électronique ou sur support papier. Elle doit préciser les informations que vous trouverez sur le site internet de la CIL .

Quel est délai requis pour l’obtention du récépissé de votre déclaration ?

Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en œuvre le traitement de données à caractère personnel. Toutefois, il n’est exonéré d’aucune de ses responsabilités prévues par la Loi.

Quelle autorité assure la protection des données personnelles au Burkina Faso ?

Qu’est-ce que la CIL ?

Au Burkina Faso, la protection des données personnelles est assurée par la CIL, créée en vertu de la Loi n°001-2021.

La CIL est l’autorité de contrôle chargée de veiller au respect des dispositions de la Loi n°001-2021, notamment en informant toutes les personnes concernées et les responsables de traitements de leurs droits et obligations et en contrôlant l’usage des technologies de l’information et de la communication appliqué aux traitements des données à caractère personnel. La CIL est une autorité administrative indépendante dotée de l’autonomie administrative et de gestion.

La CIL dispose d’un pouvoir réglementaire et d’un pouvoir de sanction.

Quels sont les pouvoirs et attributions de la CIL ?

La CIL dispose de plusieurs pouvoirs et attributions pour s’acquitter de sa mission. Elle s’assure que l’utilisation des technologies de l’information et de la communication à des fins de traitement de données à caractère personnel ne comporte aucune menace aux libertés individuelles ou publiques et à la vie privée.

La CIL peut, en cas de besoin, charger ses membres, assistés des agents et, le cas échéant, d’experts, de procéder sur place à des missions de vérifications et de contrôles à l’égard de tout traitement de données à caractère personnel.

Quelles sont les mesures que peut prendre la CIL en cas de non-respect de la Loi n°001-2021 ?

En cas de violation de la Loi n°001-2021, la CDP peut prendre les sanctions administratives suivantes :

avertissement ;
mise en demeure ;
injonction de cesser le traitement de données effectué ;
verrouillage de certaines données à caractère personnel ;
amende forfaitaire ;
retrait de l’autorisation.

Les manquements aux dispositions de la Loi sont punis par le code pénal en ses dispositions qui traitent des infractions en matière informatique et au moyen des technologies de l’information et de la communication.

En cas d’atteinte grave et immédiate aux droits des personnes concernées, le Président de la CIL ou la personne dont les droits et les libertés sont violés, peut demander par voie de référé, à la juridiction compétente, d’ordonner, le cas échéant et sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits. Ces personnes peuvent demander réparation des dommages subis.

Les actes suivants constituent des manquements graves :

collecte déloyale ou communication à un tiers non autorisé des données personnelles ;
collecte des données sensibles en violation des conditions légales ;

collecte ou l’utilisation des données personnelles ayant pour conséquence de provoquer une atteinte grave aux libertés et droits fondamentaux, y compris à l’intimité de la vie privée de la personne concernée.

Qui sont les personnes responsables de la protection des données personnelles au sein de la startup ?

Au titre de la Loi n°001-2021, votre startup agit en qualité de :
• responsable du traitement si, seul ou conjointement avec d’autres, elle prend la décision de collecter et de traiter des données à caractère personnel, en détermine les finalités et les modalités de mise en œuvre ;
• sous-traitant, si elle traite des données pour le compte du responsable du traitement.
Il incombe au responsable de traitement ainsi qu’au sous-traitant de veiller au respect de l’obligation de sécurité et de confidentialité.

Les obligations et devoirs du responsable du traitement

Le responsable du traitement est soumis aux obligations et devoirs suivants :

Obligation de déclaration préalable des traitements de données à caractère personnel ;
Obligation d’obtenir le consentement de la personne concernée;
Devoir de légitimité et de licéité d’un traitement de données à caractère personnel ;
Devoir d’informer la personne concernée ;
Devoir de sécurité des traitements de données à caractère personnel.

Pour aller plus loin, vous pouvez consulter le détail de ces obligations sur le site internet de la CIL.

Relation entre le responsable du traitement et le sous-traitant

Lorsque le traitement est mis en œuvre pour le compte du responsable de traitement, celui-ci doit choisir un sous-traitant qui apporte des garanties de protection suffisantes. Il doit conclure avec lui une convention précisant notamment les seules opérations de traitements autorisées et le sort des données à l’issue du contrat.

Qu’est-ce que le délégué à la Protection des Données

Tout responsable de traitement peut désigner au sein de son organisme un délégué à la protection des données (DPO) chargé d’assurer le respect des obligations prévues par la présente loi.

Parler à un expert en protection des données personnelles au Burkina Faso

M'INSCRIRE

Quels risques si je ne respecte pas la Loi ?

Quelles sont les amendes applicables ?

Les amendes pouvant être prononcées par la CIL à l’encontre de tout responsable de traitement ayant enfreint les dispositions de la Loi sont listées ci-après (liste non exhaustive) :

Infractions	Amendes (en francs CFA)
Entrave aux actions de la CIL, à travers les actes suivants : · Opposition à l’exercice des missions de la CIL ; · Refus de communiquer ou dissimulation à la CIL des renseignements et documents utiles à sa mission ; · Communication à la CIL d’informations non conformes au contenu des enregistrements.	Entre cinq et dix millions
· Traitement de données effectué sans (i) l’accomplissement des formalités légales ou (ii) en dehors des précautions utiles pour préserver la sécurité desdites données ; · Conservation de données au-delà de la durée prévue dans la déclaration, la demande d’autorisation préalable à la mise en œuvre du traitement, à l’exception des traitements mis en œuvre par l’Etat ; · Collecte à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données dont la divulgation aurait pour effet de porter atteinte à l’honneur et à la considération de la personne concernée ou à l’intimité de sa vie privée et transmission, sans son autorisation, à un tiers qui n’a pas qualité pour les recevoir.	Entre cinq et vingt millions
· Détournement de la finalité d’une collecte ou d’un traitement de données à caractère personnel ; · Collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.	Entre cinq et cent millions
· Traitement de données à caractère personnel concernant une personne physique, malgré son opposition, lorsque cette opposition est fondée sur des raisons légitimes.	Entre deux et cinq millions
· Le fait, hors les cas prévus par la Loi, de mettre ou conserver en mémoire informatisée, sans l’accord exprès de la personne concernée des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les mœurs des personnes.	Entre dix et cent millions

Entre outre, la CIL peut prononcer :

la confiscation de tous supports matériels des données à caractère personnel objet de la violation de la règlementation (fichiers manuels, disques et bandes magnétiques) ou ordonner l’effacement de ces données ;
l’interdiction au responsable de traitement condamné de gérer pour deux ans au maximum, tout traitement de données à caractère personnel.

Il est donc indispensable de se mettre en conformité avec la Loi n°001-2021. Cela permet de vous démarquer de vos concurrents au niveau national et international. Vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de vos clients ainsi que le respect de mesures de sécurité et de confidentialité.

👀 Pour aller plus loin, vous pouvez consulter les articles suivants :

Formulaire : je souhaite déclarer mes traitements de données personnelles au Burkina Faso

Nous vous accompagnons afin de pouvoir déclarer mes traitements de données personnelles au Burkina Faso. Remplissez ce formulaire en ligne pour être immédiatement recontacté par nos équipes.

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.