Facebook, Twitter, LinkedIn, WhatsApp. Ces réseaux sociaux, vous les connaissez sans doute, et vous les utilisez régulièrement voire quotidiennement afin de d’échanger avec vos amis, famille, collègues mais également pour suivre l’actualité. En tant qu’utilisateurs, vous devez vous comporter de manière responsable. Vous êtes également en droit d’attendre le même comportement responsable de la part de ceux qui collectent et traitent vos données à caractère personnel sur les réseaux sociaux.

Qu’est-ce qu’un réseau social ?

Selon John Barnes, le réseau social est un ensemble d’identités sociales, telles que des individus ou encore des organisations reliées entre elles par des liens créés lors d’interactions sociales. La notion de réseau social a été reprise dans les années 1990 pour désigner des communautés d’internautes se regroupant autour d’intérêts communs. Les réseaux sociaux n’ont cessé de se développer à partir des années 2000.
Ce succès a été rendu possible par les progrès technologiques réalisés sur les outils de connexion (téléphones mobiles de nouvelle génération ou tablettes) qui ont permis aux usagers d’accéder à internet et aux réseaux sociaux partout et à tout moment.
On y adhère en se créant un « profil », une sorte de carte d’identité numérique permettant de s’identifier et de se connecter lors des échanges avec les autres membres. Le nouveau rapport digital publié en 2019 par Hootsuite et We are social a dévoilé qu’en Côte d’Ivoire, sur une population d’environ 25 220 000 habitants, On dénombre 32 380 000 millions soit 128 % de téléphone mobiles présents sur le territoire Ivoirien, 11 060 000 millions de personnes utilisent internet en Côte d’Ivoire. Le nombre des plus actifs sur les réseaux sociaux en Côte d’Ivoire est de 4 900 000 millions de personnes soit un taux de pénétration de 19%.
Les personnes qui se connectent le plus souvent avec un mobile sont estimées à environ 4 500 000 millions soit un taux de pénétration de 18%.
L’enjeu que représentent les données personnelles des utilisateurs des réseaux sociaux en Côte d’Ivoire est essentiel. Ce constat nous pousse donc à nous interroger sur l’effectivité de leur protection sur les réseaux sociaux. En un mot, les données à caractère personnel des utilisateurs sont-elles réellement protégées sur les réseaux sociaux en Côte d’Ivoire ?

La loi n°2013-450 du 19 Juin 2013 relative à la protection des données à caractère personnel en Côte d’Ivoire, précise que le traitement des données personnelles doit se faire dans le respect des règles établies.
Malgré la clarté et la pertinence de la loi de 2013, force est de constater que certains responsables de traitement portent atteinte aux règles préalables à la mise en œuvre des traitements et collectes des données à caractère personnel, à travers une violation des règles préalables à la mise en œuvre des traitements (I), à la non-information des personnes concernées et la non détermination de la finalité des traitements (II), à une collecte disproportionnée des données sur les réseaux sociaux en Côte d’Ivoire (III).

I- Violation des formalités administratives prévues par la loi de 2013 relative aux DCP.

A la lecture du chapitre 3 de la loi n°2013-450 du 19 Juin 2013 portant données à caractère personnel, le responsable du traitement doit accomplir des formalités nécessaires au traitement des données à caractère personnel. Le responsable du traitement est une personne physique ou morale qui détermine les finalités et moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser.

Comment s’analyse le non-respect des formalités préalables à la collecte des données à caractère personnel (DCP) au sens de la loi de 2013 ?

Selon la loi de 2013, avant toute collecte, les responsables du traitement doivent accomplir des formalités administratives préalables auprès de l’Autorité de Régulation des télécommunications en Côte d’Ivoire (ARTCI). Pour les réseaux sociaux, il s’agit d’une procédure de déclaration ou de demande d’autorisation auprès de l’ARTCI.
A l’analyse des différentes décisions rendues par l’ARTCI, nous constatons avec étonnement, une absence de déclaration préalable avant tout traitement de la part de certains responsables du traitement. En effet, les réseaux sociaux contiennent généralement des données personnelles relatives au titulaire d’un compte, d’une page, ses relations ou personnes contribuant à la mise en valeur de la page ou du site. Ainsi, l’auteur de la page ou du site est libre de publier ou divulguer ses propres données à l’exception des données des autres personnes qui interagissent sur la page. Le responsable de traitement doit agir avec prudence, tout en se conformant à la loi de 2013 portant données à caractère personnel.

Cette loi précise en son article 5 et suivants que tout traitement, collecte ou manipulation de données à caractère personnel doit obligatoirement faire l’objet d’une déclaration préalable.
A cette invitation, seule une poignée de responsables du traitement a répondu favorablement. Ainsi des progrès doivent être réalisés en ce sens, afin de garantir la sécurité des utilisateurs des réseaux sociaux en Côte d’Ivoire.

II- L’absence d’information des personnes concernées et la non-détermination de la finalité du traitement.

Les internautes sont-ils préalablement informés avant tout traitement ou collecte de leurs données personnelles ?
L’article 15 de la loi de 2013 portant DCP exige du responsable du traitement, une collecte licite des données. La licéité de la collecte est subordonnée à l’obtention préalable d’un accord de la personne concernée.
Ainsi, avant tout traitement de données, la personne concernée doit être informée que ses données feront l’objet d’un traitement informatisé et que ce traitement ne pourra avoir lieu qu’après qu’elle ait donné son consentement. Ce droit qui s’analyse comme un devoir ou une obligation pour le responsable de traitement est également prévu à l’article 28 de la loi de 2013.

Aux termes de cet article, « le responsable du traitement est tenu de fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :
 Son identité et, le cas échéant celle de son représentant dûment mandaté ;
 La ou les finalité (s) déterminé (s) du traitement auquel les données sont destinées ;
 Les catégories des données concernées ;
 Le ou les destinataire (s) auxquels les données sont susceptibles d’être communiquées ;
 La possibilité de refuser de figurer sur les fichiers en cause ;
 L’existence d’un droit d’excès aux données concernant la personne. »

Les informations requises par la loi sont quasi-inexistantes sur certains réseaux sociaux. Cette situation est constatable sur plusieurs réseaux sociaux où les conditions générales d’utilisation sont quasi inexistantes. Le consentement des adhérents aux réseaux sociaux dépend de la délivrance d’une information adéquate sur l’usage qui sera fait de ses données personnelles.

La loi de 2013 ne précise pas à quel endroit doivent figurer les informations. Le législateur français exige, quant à lui, que les informations requises figurent sur le formulaire d’inscription au réseau. Cette exigence permet de prime à bord, de faciliter l’accès à l’information. Ensuite, la prise de connaissance des informations avant toute inscription, permettrait de prendre une décision éclairée. Enfin, cette exigence permet une meilleure protection des données personnelles. Certains responsables de traitement désirant accueillir plus de membres, peuvent être tentés de dissimuler ces informations.
Pour éviter cette situation et mieux veiller au respect de cette obligation, il est judicieux de définir les modalités de délivrance de l’information. L’absence d’information des personnes concernées vaut manquement à l’obligation d’information.

Quid de la définition des finalités du traitement ?

L’article 16 de la loi de 2013 précitée dispose que : « les données doivent être collectées pour des finalités déterminées, explicites et légitimes... »

A la lecture de cette disposition, on s’aperçoit que le responsable du traitement doit définir la ou les finalité (s) des données collectées avant tout traitement. La finalité des données collectées s’apprécie en fonction du caractère adéquat, pertinent et non excessif des données collectées, la durée pendant laquelle les informations peuvent être conservées ou encore les destinataires des informations.
Ainsi, la loi de 2013 l’a insérée comme une mention dans les procédures de demande d’avis, de déclaration et de demande d’autorisation à l’article 9 de la loi susvisée. Selon cette disposition, « La demande d’avis, la déclaration et la demande d’autorisation sont adressées à l’Autorité de protection et contiennent au minimum les mentions suivantes : la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ; ... ».

La finalité du traitement, principe cardinal de toutes les législations en matière de données à caractère personnel n’est malheureusement pas respectée en Côte d’Ivoire. En effet, certains réseaux sociaux greffent des finalités accessoires à la finalité déclarée de telle sorte que la finalité du traitement des données collectées manque de précision. De plus, la formulation de la finalité n’est pas assez claire. En effet, le réseau social Facebook prétend collecter les données personnelles pour fournir ses services et assurer le fonctionnement des produits Facebook et les services associés. Cette formulation pose clairement un souci de compréhension. Que faut-il entendre par services fournis ou assurer le fonctionnement des produits Facebook ?
Il faudra alors procéder à une clarification de cette formulation et indiquer clairement aux utilisateurs, la finalité des données collectées.

III- Une collecte disproportionnées des données sur les réseaux sociaux en Côte d’Ivoire.

L’article 16 alinéa 2 de la loi de 2013 dispose que : « les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement ».

Ainsi les données collectées par les réseaux sociaux, mis en rapport avec la ou les finalité(s) poursuivie(s) ne doivent pas être excessives. Or nos différentes études et investigations, nous ont permis de comprendre que certains réseaux sociaux, notamment Facebook demandent parfois aux internautes désireux de s’inscrire, de fournir des justificatifs d’identité, tel que des dossiers médicaux. Une telle collecte de données peut paraitre excessive au regard de la finalité poursuivie par un réseau social.

En outre, ce réseau collecte les contacts téléphoniques des membres par la mise en place de système de synchronisation. En effet, ce réseau demande à collecter les contacts personnels pour aider des membres à retrouver des amis. Par cette collecte, ce réseau arrive à collecter les noms, prénoms et contacts d’amis, de collègues et de proches.

Par ailleurs, la consultation de leur politique d’utilisation révèle que ce réseau collecte aussi :
 Les données d’emplacement de l’appareil, notamment les données d’emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi.
 Des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d’accès à internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP.

Ces informations ainsi collectées, ne sont pas toutes utiles pour déterminer la finalité du traitement. Cette situation constitue de ce fait, un manquement à l’obligation de collecter des données non-excessives au regard de la finalité. Ce manquement peut s’analyser comme un contrôle de la vie privée des internautes.
Des actions significatives ont été menées par l’ARTCI pour le respect de la vie privée des utilisateurs des réseaux en Côte d’Ivoire. Il faut cependant, noter que ces actions demeurent insuffisantes compte tenu du volume des données collectées au quotidien sur les réseaux sociaux.
C’est pourquoi, l’ARTCI doit veiller de façon rigoureuse à ce que les données soient collectées de façon non-excessive et, en fonction de la finalité qui a été déterminée par le responsable du traitement.