Assemblée Générale de l’Ordre Régional des Médecins de Ouagadougou

2. Assemblée Générale de l’Ordre Régional des Médecins de Ouagadougou session de formation médicale continue Alimata OUATTARA/DAH Juriste droit des affaires Inspectrice du travail et des lois sociales Présidente / CIL Juillet 2012

3. PLAN Introduction Définition de certains concepts clés de la protection des données personnelles II. LES ENJEUX DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL III. Les enjeux propres au secteur de la santé • IV. Contenu de la loi portant protection des données à caractère personnel V. LES DISPOSITIONS SPECIFIQUES A LA SANTE VI. SANCTIONS AUX MANQUEMENTS DES OBLIGATIONS CONCLUSION

4. Introduction Le droit à la protection des données personnelles est né dans les années 70 (Allemagne en 1971, Suède en 1973, France en 1978, Luxembourg en 1979, Canada en 1982) des craintes que font peser la collecte et la numérisation des renseignements personnels sur la vie privée et les libertés individus. Ces craintes résultent des risques liés à la conservation des informations sur de longues durées, aux copies qui en sont faites, à l’insu des personnes, aux tris qui ont été opérés et aux détournements de finalité ayant entraîné la discrimination à l’égard d’une certaine communauté.   Ce droit est devenu avec l’évolution des technologies, un droit essentiel à l’exercice des autres libertés et droits fondamentaux, telles que la liberté d’aller et venir ou la confidentialité de toutes informations nominatives.

5. Le droit à la protection des données personnelles est né dans les années 70 (Allemagne en 1971, Suède en 1973, France en 1978, Luxembourg en 1979, Canada en 1982) des craintes que font peser la collecte et la numérisation des renseignements personnels sur la vie privée et les libertés individus. Ces craintes résultent des risques liés à la conservation des informations sur de longues durées, aux copies qui en sont faites, à l’insu des personnes, aux tris qui ont été opérés et aux détournements de finalité ayant entraîné la discrimination à l’égard d’une certaine communauté.   Ce droit est devenu avec l’évolution des technologies, un droit essentiel à l’exercice des autres libertés et droits fondamentaux, telles que la liberté d’aller et venir ou la confidentialité de toutes informations nominatives.

6. Ainsi, au-delà des règles communes de traitement des données personnelles, la loi portant protection des données à caractère personnel contient des dispositions spécifiques applicables aux traitements des données dans le domaine de la santé. • Le secteur de la santé est le domaine où la vie privée et les données personnelles revêtent un caractère particulièrement sensible du point de vue des effets qu’elles sont susceptibles d’engendrer.

7. Avant de présenter le contenu de la loi, il convient de définir quelques concepts relatifs à la protection des données personnelles

8. Définition de certains concepts clés de la protection des données personnelles On entend par donnée personnelle, toute information concernant une personne physique identifiée ou identifiable (appelée personne concernée). Il peut s'agir du nom d'une personne, d'une photographie, d'un numéro de téléphone, d'un numéro de compte bancaire, d'une adresse e-mail, d'une empreinte digitale, etc. Qu’est-ce qu’une donnée à caractère personnel ?

9. Les informations se rapportant à la vie professionnelle ou publique d’une personne, la voix, l’image, la signature, l’ADN, d’une personne sont également considérés comme des données à caractère personnel. Qui est la " personne concernée " ? Chacun de nous est une personne concernée dans la mesure où, lorsque l'on remplit un formulaire, que l'on utilise une carte de crédit, se fait hospitaliser, communique son numéro de téléphone portable, etc. on livre des données personnelles.

10. Qu'est-ce qu'un traitement de données personnelles ? C'est toute opération ou ensemble d'opérations appliquées à des données Personnelles ; ces opérations comprennent la collecte des données, leurs conservations, leurs 'utilisations, ou leur communication à d’autres professionnels du domaine, etc. Exemple: toute création de dossier patient constitue un traitement de données.

11. Qui est le responsable d'un traitement ? Il est très important de savoir qui, aux yeux de la loi, est considéré comme le « Responsable du traitement ». C'est en effet sur cette personne que repose la charge de presque toutes les obligations imposées par la loi pour assurer la protection des données traitées. C'est aussi le responsable du traitement qui est l'interlocuteur principal des personnes concernées et des autorités de contrôle. La loi désigne comme responsable du traitement la personne qui détermine les objectifs et les moyens de ce traitement de données. En un mot, c’est celui qui décide de la création des fichiers.

12. Qu’est ce que la vie privée ? La loi ne définit pas la vie privée. Cependant, au gré des affaires soumises aux tribunaux, la jurisprudence s’est chargée de dresser une typologie des éléments intégrant la sphère de la vie privée. Il en est ainsi de la vie familiale, sentimentale ou amicale, de la santé, des mœurs, de l’orientation sexuelle, des opinions philosophiques, politiques ou religieuses, de l’identité physique, etc. Le droit à la vie privée, pourrait se traduire par le droit d’être laissé tranquille, d’être libre d’interférences et d’intrusions.

13. II.LES ENJEUX DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

14. La question de la protection des données à caractère personnel reste peu connue des citoyens du fait que bien souvent, ils ignorent leurs droits en la matière. Les données à caractère personnel se retrouvent partout, dans le fonctionnement de nos institutions et dans la plupart de nos activités quotidiennes. Nous livrons, presque tous les jours et peut-être sans le savoir, des données à caractère personnel.  

15. En réservant une place dans une compagnie de transport, ce sont des données personnelles qu’on laisse à autrui ? Si par hasard cette information est divulguée, cela ne peut-il pas vous causer des désagréments à des degrés divers ?

16. Un inconnu se présente à vous comme étant un enquêteur et obtient de vous des informations sur votre ethnie, votre appartenance politique et syndicale et s’en retourne sans que vous ne sachiez qui il est, ni, pour le compte de qui il a collecté ces informations, n’y a-t-il pas des risques que ces informations soient malencontreusement utilisées contre vous ? Les communications téléphoniques et les SMS que nous émettons tous les jours font un transit sur divers supports électroniques avant qu’ils ne parviennent aux destinataires, et, si, n’importe qui pouvait obtenir auprès de ce service de transit des renseignements sur ce que vous avez dit ou écrit, imaginez-vous quelles pourraient être vos relations sociales, professionnelles ou même conjugales ?

17. Si les dossiers de l’état civil (c'est-à-dire les mariages, filiations) ; étaient accessibles à tout le monde, alors tout le monde saurait qui est né de qui ou de père inconnu, qui est enfant adopté, et qui est marié sous quel régime, imaginez-vous les problèmes sociaux que cela pourrait-il engendrer ? (tels que discrimination, humiliation, mépris …). • Il nous arrive souvent de faire un tour sur le net pour essayer d’échanger avec des amis découverts sur le net. En effet, nous échangeons des informations sur notre vie, nos points de vues philosophiques, notre parcours professionnel…

18. Toutes les informations personnelles que nous publions involontairement sur le net peuvent être utilisées contre nous et porter atteinte à notre vie sociale sentimentale et professionnelle. L’informatisation générale de presque tous les services de l’administration publique et privée (gestion du personnel, gestion des informations sur l’état de santé des individus, gestion des parcelles, gestion des pièces de l’état civil, des pièces d’identité et peut-être bientôt des jugements de tribunaux etc.) permet certes de faciliter les recherches, un gain de temps, et de raccourcir les distances, mais imaginez-vous qu’en un clic de souris l’on puisse accéder librement aux parties confidentielles de toutes ces informations?

19. III. Les enjeux propres au secteur de la santé

20. Dans le secteur de la santé, les professionnels sont dans l’intimité de la vie des patients. De plus avec l’introduction des TIC dans la plupart des domaines, la problématique de la protection des données est devenue une question essentielle. Cela va s’en dire qu’il y a des risques non négligeables sur la vie privée et la protection des données personnelles des patients.

21. Premierement, on a les risques de manipulation ou de consultation des dossiers patients par le personnel non soignant, et toute autre personne non habilitée. • En second lieu, il y a le risque de piratage informatique dans le cas de la gestion électronique des dossiers patients car nul doute que les bases de données sur les patients peuvent être utilisées à des fins commerciales ou même donner lieu à des manipulations non conformes à l’éthique et à la déontologie médicales.

22. Troisièmement dans le cadre du développement de la télémédecine, les risques d’interception, de perte des données demeurent réels au regard du niveau technologique d’ensemble du Burkina. Enfin, et sans pour autant que cela soit exhaustif, dans le cas des laboratoires d’analyses médicales, des renseignements personnels sont récoltés pour les besoins de facturation et leur communication aux organismes de sécurité sociale (CARFO, CNSS) ou aux organismes d’assurances.

23. Toutes ces informations collectées font l’objet de traitement par des tiers et ne sont à l’abris ni des erreurs humaines ni des manipulations malveillantes; d’où l’impérieuse nécessité d’encadrer spécifiquement ces données relatives à la santé des individus qualifiées de données sensibles par la Loi informatique et Liberté.

24. Au regard de tout ce qui précède, le Burkina Faso a adopté en 2004 la Loi n°010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel et a institué la Commission de l’Informatique et des Libertés, l’autorité de protection. • Le cadre juridique spécifique de la protection des données à caractère personnel est fondé sur: LaLoi n°010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel

25. IV. Contenu de la loi portant protection des données à caractère personnel La loi portant protection des données personnelles énonce des grands principes qui se traduisent en obligations imposées aux responsables de fichiers et en droits, accordés aux personnes fichées.

26. A. Obligations incombant aux responsables de traitement Les principes fondamentaux ci-après encadrent les traitements de données personnelles : Le principe de licéité et de loyauté : la collecte, l’enregistrement, le traitement, le stockage et la transmission des données à caractère personnel doivent se faire de manière licite, loyale et non frauduleuse. Dans le contexte Informatique et Libertés, la loyauté est le fait de ne pas induire l'autre en erreur, de ne pas abuser du consentement de l'individu. La loyauté, c'est le fait d'agir « à la régulière » La licéité s'apprécie quant à elle au regard des textes, mais aussi à la lumière de l'ensemble des droits de l'individu, que ce soit sa vie privée, ses libertés individuelles, son identité

27. Concrètement, il faut informer l'individu que des données sont collectées afin qu'il y consente - et donc lui fournir des réponses claires aux questions suivantes : • Qui collecte mes données ? • Pourquoi collecte-t-il ces donnés ? • A qui sont destinées les données collectées ? • Quels sont les renseignements obligatoires et facultatifs ? • Que se passe-t-il si je ne fournis pas toutes les informations demandées ? • Quelle procédure dois-je suivre à l'avenir pour rectifier ou supprimer mes données ?

28. Le principe de finalité, de pertinence:Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ses finalités. Aux termes de l'article 14 de la Loi 010/2004 AN, le responsable du fichier doit notamment préciser les caractéristiques du traitement, sachant que les données doivent être enregistrées pour des finalités déterminées et ne doivent pas être utilisées de manière incompatible avec ces finalités. C'est au regard de la finalité déclarée d'un traitement que doit être appréciée la pertinence des données collectées. L'évaluation de cette pertinence des données enregistrées par rapport à la nature du traitement envisagé peut s'avérer délicate. Le Principe d’exactitude:les données doivent être exactes, complètes et si nécessaire mises à jour. Les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

29. Le principe de confidentialité et de sécurité : les données à caractère personnel doivent être traitées de manière confidentielle et être protégées, notamment lorsque le traitement comporte des transmissions de données dans un réseau. La confidentialité est la propriété d'une information de ne pouvoir être accédée que par des personnes, entités ou processus autorisés et de ne pouvoir être divulguée qu'à des personnes, entités ou processus autorisés. Cette possibilité d’accorder un accès sélectif aux informations doit être assurée tout au long de la vie de ces informations notamment au cours de leurs collectes, de leur conservation, de leurs traitements et de leurs communications. En pratique, les seules personnes autorisées à accéder aux données à caractère personnel sont les personnes dont la fonction ou les activités professionnelles justifient cet accès. Les degrés de confidentialité dépendent de la nature des informations.

30. Le principe selon lequel les données doivent être conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Au-delà, les données ne peuvent être conservées sous une forme nominative qu’en vue de leur traitement à des fins historiques, statistiques ou de recherches. Le principe des exceptions et limitations: les principes relatifs à la qualité des données, à l'information de la personne concernée, au droit d'accès et à la publicité des traitements peuvent voir leur portée limitée afin de sauvegarder, entre autres, la sûreté de l'État, la défense, la sécurité publique. Les Principes spécifiques: il est interdit de procéder à la collecte et à tout traitement qui révèle l’origine raciale, ethnique ou régionale, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques, ou plus généralement celles relatives à l’état de santé de la personne concernée. Toute divulgation ou exploitation des données de santé à caractère personnel est interdite

31. Le principe de consentement et de légitimité Le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne son consentement. Toutefois, il peut être dérogé à cette exigence du consentement, lorsque: • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; • - le traitement est nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d’un tiers ; • - le traitement porte sur des données rendues publiques par la personne concernée

32. B. DROITS DES PERSONNES CONCERNEES Le principe du droit d'accès des personnes à leurs données: Toute personne concernée doit avoir le droit d'obtenir du responsable du traitement : • la confirmation que des données la concernant sont ou ne sont pas traitées et la communication des données faisant l'objet des traitements; • la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente loi, notamment en raison du caractère incomplet ou inexact des données, ainsi que la notification de ces modifications aux tiers auxquels les données ont été communiquées; Le principe du droit d'opposition aux traitements de données: La personne concernée a le droit de s'opposer, pour des raisons légitimes, à ce que des données la concernant fassent l'objet d'un traitement. Elle doit également pouvoir s'opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de prospection.

33. V. LES DISPOSITIONS SPECIFIQUES A LA SANTE

34. De manière spécifique, la loi 010-2004 du 20 avril 2004 a prévu des dispositions relatives à la santé et à la recherche : • Article 10 : Les traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé sont soumis à la loi 010 sauf en ce qui concerne: • le consentement préalable des personnes concernées, • l’obligation d’informer la personne concernée, • la demande d’avis, • L’interdiction de collecter les données sensibles telles que la santé. • Article 17 prévoit le droit d’accès concernant les informations à caractère médical peuvent être communiquer à une personne par l’intermédiaire d’un médecin que celle-ci désigne à cet effet • Article 21 le traitement des données à caractère personnel peut être fait sans le consentement de la personne concernée dans le cas suivant: • Le traitement est nécessaire à la sauvegarde de la vie de la personne concernée ou de celle d’un tiers, • Article 23 dispose que toute divulgation ou exploitation commerciale des données de santé à caractère personnel est interdite.

35. VI. SANCTIONS AUX MANQUEMENTS DES OBLIGATIONS

36. LA LOI PORTANT PROTECTION DES DONNEES PERSONNELLESL’article 53 alinéa 1 de la loi n°10-2004/AN dispose que « Le fait, pour toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à l’honneur et à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces informations à la connaissance d’un tiers qui n’a pas qualité pour les recevoir, est puni de trois (03) mois à cinq (05) ans d’emprisonnement et de un million (1 000 000) à trois millions (3 000 000) de francs CFA d’amende ». Cette disposition qui sanctionne de façon générale la divulgation d’informations nominatives en temps ordinaire, a, vocation à s’appliquer en période électorale. Pendant la campagne électorale donc, les protagonistes devraient s’abstenir de tout propos de nature à porter atteinte à l’honneur et la réputation d’autrui. Tout contrevenant s’expose à des sanctions que le juge peut prononcer sous la forme d’une peine d’emprisonnement ou d’une amende.

37. CONCLUSION

38. Tous les citoyens sont des personnes concernées par la protection des données à caractère personnel, chacun d’entre nous pouvant être victime d’une immixtion dans sa vie privée : certaines informations personnelles si elles sont connues en dehors d’un certain cercle, peuvent être source de discrimination, et d’humiliation et, ainsi, exposer dangereusement nos libertés individuelles et notre vie privée. Ensemble, faisons en sorte que chacun d’entre nous, quelque soit son domaine d’activite soit un maillon dans la protection des données personnelles.

39. MERCI