Cette étude révèle comment les applications pratiques du contrat électronique au Bénin garantissent la protection des droits du consommateur. Quelles stratégies juridiques sont mises en œuvre pour éviter les déséquilibres contractuels et assurer une exécution efficace des contrats ?
Paragraphe II : La confidentialité des données à caractère personnel
Le principe de confidentialité est l’un des principes fondamentaux qui concourent à la protection des données à caractère personnel. On peut entendre par confidentialité, le
« caractère de ce qui est confidentiel » et le terme confidentiel renvoi à ce « qui est communiqué à quelqu’un sous l’interdiction, pour celui-ci, de le révéler à quiconque ; qui est livré par écrit ou oralement sous le sceau du secret (en confiance et confidence) »1. Le professionnel qui collecte et traite les données personnelles du consommateur dans le cadre de l’exécution du contrat électronique est tenu au respect dudit principe (A). Mais dans certains cas, il est appelé à lever le seau de confidentialité (B).
A- Le principe de la confidentialité
Placer au cœur de la protection des données à caractère personnel, objet de collecte et de traitement, le principe de confidentialité se trouve être l’un des principes que le professionnel doit respecter lors de l’exécution du contrat électronique si cette exécution est nécessaire à l’utilisation des données du consommateur. « Le respect de la confidentialité est un droit important et un catalyseur essentiel de l’autonomie, de la dignité et de la liberté d’expression d’un individu »2.
Ainsi, les données personnelles du consommateur ne peuvent faire l’objet de diffusion par le professionnel. Ce dernier est tenu de prendre toutes les garanties nécessaires afin qu’une tierce personne n’accède à ces données3. La confidentialité des données personnelles implique également pour le professionnel, le fait de sécuriser lesdites données.
L’obligation de sécurité et celle de confidentialité sont donc étroitement liées. L’une ne saurait donc être réalisée sans l’autre.
« La sécurité des données est essentielle pour garantir leur confidentialité et leur protection. Tenant compte des technologies disponibles et du coût de la mise en œuvre, des mesures et des procédures techniques et organisationnelles rigoureuses de protection devraient être mises en place pour garantir une gestion adéquate des données tout au long de leur cycle de vie et empêcher toute utilisation ou divulgation non autorisée ou toute violation de données à caractère personnel »4.
De même, « la création et le traitement de données personnelles sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles. Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d’information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.
Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. Ainsi, il est tenu de limiter la quantité de données traitée dès le départ et doit démontrer cette conformité à tout moment. L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle »5.
« Le responsable du traitement doit, pour garantir l’intégrité et la confidentialité des données personnelles traitées, vérifier que l’organisation et les moyens techniques mis en œuvre sont suffisamment sûrs pour protéger les droits et libertés des personnes concernées »6. Même si le professionnel est tenu de respecter la confidentialité des données personnelles collectées chez le consommateur, il existe des cas dans lesquels, il peut violer ce principe.
B- L’exception de la confidentialité
Dans certaines circonstances, le professionnel peut être amené à violer involontairement le principe de confidentialité lié à la protection des données à caractère personnel. La violation d’un tel principe se justifie par l’injonction donner au professionnel par une autorité7 en vertu d’une loi ou d’une règlementation, de lui communiquer des informations personnelles dans le cadre d’une affaire. Dans ce cas, l’autorité est désignée comme un tiers autorisé parce que les données personnelles dont il réclame communication ne sont pas ses propres données et de même, il agit en vertu d’une loi ou d’un texte réglementaire.
Autrement dit, est appelé tiers autorisé, « toute autorité légalement habilitée, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable de traitement de lui communiquer des données à caractère personnel »8. Lorsque le professionnel reçoit une injonction relative à la communication des données personnelles de la part d’un tiers autorisé, il est tenu de déférer à ladite injonction9.
Cette obligation de respecter les injonctions données par le tiers autorisé qui pèse sur le professionnel l’amène à briser le seau de confidentialité et de communiquer les données concernées. Il pèse donc sur le professionnel un devoir de coopération10. Ce devoir de coopération qui se traduit en majorité par la communication des données personnelles à l’autorité.
En plus de l’injonction donnée par le tiers autorisé pour recevoir communication des données personnelles dans des conditions déterminées, ce dernier peut demander à avoir accès aux locaux servant à la mise en œuvre de traitement des données à caractère personnel. Ainsi, l’accès aux locaux peut être effectif de six (06) heures à vingt-et-une (21) heures. Dans ce cas, le professionnel est tenu de mettre en œuvre des mesures nécessaires pouvant permettre au tiers autorisé d’accomplir convenablement sa mission.
Le responsable des locaux professionnels privés est informé de son droit d’opposition à la visite. En cas d’opposition du responsable des lieux ou du responsable du traitement, la visite ne peut se dérouler qu’avec l’autorisation du président du Tribunal de première instance compétent ou du juge délégué par lui. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du président du Tribunal de première instance compétent ou du juge délégué par lui. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite11. Au même titre que la vie privée du consommateur, les paiements en ligne qui sont une obligation contractuelle de ce dernier a fait également l’objet d’une protection.
________________________
1 CORNU (G.), op. cit., 12ème éd Quadrige, PUF, Janvier 2018, p. 515. ↑
2 Consulté sur le site https://www.internetsociety.org/wp-content/uploads/2017/09/ISOC-PolicyBrief-Privacy-20151030-fr.pdf, le 20 novembre 2021 à 15h 02 min. ↑
3 V. art 387-5,6,7,8,9,10 et 11 du C. num. V. les dispositions des arts 385 et 425 même code. ↑
4 GNUD, « confidentialité, éthique et protection des données note d’orientation du GNUD concernant les mégadonnées à l’appui de la réalisation du programme 2030 », 2017, consulté sur le site https://unsdg.un.org/sites/default/files/UNDG_French_BigData_final.pdf, le 20 novembre 2021 à 19h 10 min. ↑
5 Consulté sur le site https://www.service-public.fr/professionnels-entreprises/vosdroits/F24270, le 20 novembre 2021 à 20h 02 min. ↑
6 Consulté sur le site https://ethiquedroit.hypotheses.org/1717, le 20 novembre 2021 à 21h 02 min. ↑
7 Par ex., l’Autorité de protection des données à caractère personnel. ↑
8 DESGENS-PASANAU (G.), op. cit., p. 43. ↑
9 V. l’art 487 du C. num. ↑
10 Voir art 488 du C. num. ↑
11 Cf. art 489 als 3 et 4 du même code. ↑