COMPRENDRE LA PROTECTION DES DONNÉES PERSONNELLES AU BURKINA FASO
🔎 Tout savoir sur la CIL, les lois sur les données personnelles au Burkina Faso et les droits des citoyens et les dangers pour les entreprises
Introduction
Déclarer vos traitements de données personnelles auprès de la Commission de l’informatique et des libertés (“CIL”) est obligatoire au Burkina Faso si votre start-up traite des données à caractère personnel.
La loi n°001-2021/AN portant protection des personnes à l’égard du traitement des données à caractère personnel en date du 30 mars 2021 (la « Loi n°001-2021 ») prévoit en effet, des obligations à votre charge lorsque vous traitez des données personnelles ou des données sensibles. Elle a pour objet de protéger les droits et libertés fondamentaux des personnes physiques en matière de traitement de leurs données à caractère personnel.
Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Quelles sont mes autres obligations en qualité de start-up en application de cette Loi n°001-2021 ? Si vous ne savez pas répondre à ces questions, cet article élargira considérablement vos connaissances sur le sujet.
A qui la Loi n° 2013-450 s’applique-t-elle ?
La Loi n°001-2021 s’applique :
- aux traitements automatisés ou non de données à caractère personnel, dont le responsable de traitement ou sous-traitant est établi au Burkina Faso ou sans y être établi, relève du Burkina Faso selon le droit international public.
Autrement dit, la Loi n°001-2021 vous est applicable si votre responsable de traitement est basé au Burkina Faso et traite des données à caractère personnel à l’instar des noms, adresses ou numéros de téléphone de vos clients. S’il n’est pas basé au Burkina Faso, il peut relever du Burkina Faso en vertu d’une convention internationale qu’aurait par exemple ratifié le Burkina Faso. - au responsable de traitement ou au sous-traitant non établi sur le territoire du Burkina Faso, qui met en œuvre des opérations de traitement à partir du territoire national, à l’exclusion des données de transit.
A qui la Loi n° 2013-450 ne s’applique-t-elle pas ?
La Loi n°001-2021 ne s’applique pas :
- aux traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
- aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données aux seules fins de permettre aux autres destinataires du service, le meilleur accès possible aux informations, sauf en ce qui concerne leur mise à jour et leur sécurité ;
- aux traitements de données à caractère personnel effectués aux seules fins littéraires et artistiques ou de journalisme, dans le respect des règles déontologiques et éthiques de ces professions, des mesures de sécurité assurant le secret des sources journalistiques, ainsi que des règles de modération applicables aux forums de discussion mis en œuvre par des éditeurs d’informations journalistiques.
Qu’est-ce que la protection de données à caractère personnel ?
Qu’est-ce qu’une donnée personnelle au sens de la loi Burkinabè ?
D’après l’article 5 de la Loi n°001-2021, une donnée personnelle désigne « toutes informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification, à un ou plusieurs élément(s) propre(s) à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».
Cela peut inclure par exemple les informations suivantes : nom, adresse, numéro de téléphone, adresse e-mail, date de naissance, lieu de travail, habitudes d’achat, données de localisation etc.
Comment déterminer si ma startup réalise un traitement de données personnelles selon la Loi n°001-2021 ?
Aux termes de l’article 5 de la Loi n°001-2021, un traitement des données à caractère personnel désigne « toute opération ou ensemble d’opérations effectuée à l’aide de procédés automatisés ou non et appliquée à des données à caractère personnel, tels que la collecte, l’organisation, la conservation, l’adaptation, la modification, la sauvegarde, la copie, la consultation, l’enregistrement, l’extraction, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, le verrouillage, le cryptage, l’effacement ou la destruction ».
Vous pouvez donc (sous réserve de quelques exceptions) être considéré comme réalisant un traitement de données personnelles si vous réalisez une des opérations visées ci-dessus.