Le traitement de données à caractère personnel, quelle que soit leur nature, doit obligatoirement reposer sur une base légale. C’est ce que l’autorité de protection des données à caractère personnel du Kenya (ci-après « l’ODPC ») a reproché à trois établissements kenyans. Elle a infligé dans les décisions n°0778, n°0607 et n°0841 de septembre 2023, trois sanctions record d’un montant total de 9.375.000 Kenya Shillings (KES) soit environ 55.000 euros.
La première sanction, d’un montant 2.975.000 KES a été infligée à un établissement de crédit en ligne. Cette sanction est survenue à la suite de deux différentes plaintes déposées les 11 et 30 mai 2023 auprès de l’ODPC. Les plaignants reprochaient à l’établissement de crédit de les avoir contactés à travers des messages et des appels téléphoniques sans leur consentement. Ces appels et messages étaient accompagnés de menaces pour l’un et d’injures pour l’autre. En réalité, ces personnes ont été contactées à plusieurs reprises par l’établissement de crédit en ligne à propos de dettes qu’elles n’avaient pas contractées personnellement. En effet, ces dettes avaient été souscrites par des personnes de leurs entourages respectifs. Selon le mode opératoire de l’établissement de crédit, le souscripteur est amené à désigner une personne référente au moment de la souscription du prêt et à donner accès à son annuaire téléphonique à l’établissement de crédit via une application mobile. L’établissement de crédit se charge alors en cas d’insolvabilité de contacter la personne référente afin de mettre la pression sur le souscripteur. L’établissement de crédit a reconnu ces faits.
La deuxième sanction, qui s’élevait à un montant de 1.850.000 KES a été prononcée contre un restaurant-bar. Cette sanction fait suite à la publication d’images de leurs clients sur les réseaux sociaux, sans le consentement de ces derniers.
Enfin, la troisième sanction est la plus sévère. Le montant de l’amende s’élève à 4.550.000 KES. Dans cette affaire, il s’agissait d’un établissement d’enseignement scolaire qui avait procédé à la publication de photos d’enfants mineurs à des fins de marketing sur ses réseaux sociaux, notamment Tik Tok, sans le consentement exprès des parents. L’ODPC a alors été saisie d’une plainte d’un parent d’élève à qui l’établissement d’enseignement a refusé de communiquer les bases légales du traitement. À l’issue de son enquête, il s’est avéré que les faits niés par l’établissement d’enseignement étaient fondés.
Il s’agit en réalité de sanctions inédites. Dans son communiqué de presse, l’ODPC a rappelé qu’à travers ces sanctions, elle souhaitait envoyer un message fort aux établissements de crédit en ligne, aux restaurants et bars et aux établissements d’enseignement qui traitent en majorité des données de mineurs. Par ailleurs, elle rappelle que c’est la première fois qu’un établissement d’enseignement est sanctionné aussi lourdement.
L’ODPC reproche à l’ensemble de ces établissements plusieurs manquements à la législation kenyane sur la protection des données. Le manquement commun à l’ensemble des décisions est le défaut de recueillement de consentement des personnes concernées avant le traitement de leurs données. Cette absence de consentement a été constatée tant dans la collecte directe des données que dans la collecte indirecte. Ce défaut de consentement entraine ainsi l’absence de base légale au traitement. Or, l’absence de base légale est une cause de non-respect des obligations du responsable de traitement prévues par la loi kenyane.
En somme, ce sont plusieurs articles de la loi qui ont été ignorés. La lumière doit être principalement mise sur la violation des articles 26, 30 ou encore 33, portant dans ce dernier cas sur le traitement des données des mineurs. Il est important de rappeler que le point de convergence des décisions est bien le défaut de base légale au traitement des données, y compris pour le traitement de données de mineurs. Il faut aussi rappeler que le Kenya, par le biais de l’ODPC, fait du respect de la loi sur la protection des données une priorité. Cette priorité se manifeste par la multiplication des contrôles, l’exécution des plaintes et les sanctions prononcées à toutes les entités assujetties à la loi de 2019.
Selon l’article 4 de la loi, toutes les entités établies sur le territoire kenyan et qui traitent les données sont soumises à tous les principes liés au traitement des données. En raison de la nature de leurs activités et de leur situation géographique, les trois établissements en l’espèce sont soumis à la législation kenyane. En effet, ils traitent respectivement les données comme les contacts téléphoniques, les noms, les images d’adultes et de mineurs, tout en étant établis sur le territoire kenyan.
Or, dans le cadre des mécanismes mis en place par la loi, aucun traitement de données ne peut se faire sans base légale. Il s’agit des exigences établies afin de garantir le respect des principes de licéité et de légitimité des traitements.
Par ailleurs, en vertu de ces principes, chaque traitement de données mis en place ne saurait se faire de manière illicite et doit répondre aux exigences prévues par la loi. À ce propos, la loi kenyane prévoit plusieurs bases légales sur lesquelles le responsable de traitement peut asseoir son traitement à l’instar de la plupart des lois nationales sur la protection des données.
Ces bases légales ne sont pas cumulatives. Et c’est à juste titre que certains auteurs parlent d’hypothèses (1). Tandis que d’autres font du consentement la base légale de principe et les autres bases légales des exceptions (2). En marge de cette divergence, certains auteurs ont choisi de s’aligner sur la position du G29 qui considère toutes les bases légales comme équivalentes (3). En ce qui concerne la loi du Kenya, elle semble donner une place de choix au consentement.
À cet effet, le consentement est défini par l’article 2 comme « toute manifestation de la volonté expresse, non équivoque, libre, spécifique et informée de la personne concernée, exprimée par une déclaration ou par une action affirmative claire, signifiant son accord pour le traitement des données à caractère personnel la concernant » (4). C’est le consentement tel que défini qui est à la base des trois récentes décisions de l’ODPC.
En l’espèce, les personnes concernées, dans la première affaire, n’ont reçu aucune information sur les pratiques de l’établissement de crédit. Or, ce dernier avait accès à leurs contacts par le biais de l’application mobile installée par les débiteurs. Dans son argumentaire, l’établissement de crédit alléguait qu’elle avait obtenu le consentement des débiteurs afin d’accéder à leurs annuaires téléphoniques. Cependant, pourrait-on étendre aux personnes concernées le premier consentement obtenu auprès des débiteurs ? Ce premier consentement est-il valable pour le traitement postérieur effectué sur les données des personnes concernées ? La loi exige que le consentement soit personnel, spécifique et clair.
Par ailleurs, il est ressorti de l’argumentaire du responsable de traitement que des employés de l’établissement ont outrepassé leurs compétences. En effet, l’établissement de crédit a reconnu que certains de ses employés avaient eu recours à l’intimidation pour arriver à leurs fins. Face à cette situation, elle allègue avoir présenté ses excuses pour ces excès. Toutefois, le repenti et les excuses pourraient-ils écarter l’application de la loi dans toute sa rigueur ?
Dans le deuxième cas, les images des clients ont été collectées et diffusées après leur passage dans le restaurant-bar. Or, ces clients n’ont nullement donné leur consentement pour que leurs images soient collectées et encore moins diffusées sur les réseaux sociaux. En soi, la seule présence des clients dans le restaurant-bar pourrait-elle valoir un consentement pour l’utilisation de leurs images sur les réseaux sociaux ? La loi prévoit que le consentement ne peut être tacite. Il doit plutôt être clair et exprès.
Dans la troisième situation, le responsable de traitement a tout d’abord opposé une résistance. En effet, dans son argumentaire, il avait nié les faits qui lui étaient reprochés par le parent d’élève. Ce n’est qu’à l’issue des investigations de l’ODPC qu’il a fini par reconnaître les faits. Cependant, il précise avoir informé les parents d’élèves via un message diffusé dans un groupe de discussion.
Alors, la simple mesure d’information constitue-t-elle une base légale de traitement ? D’autant plus que la forme de la mesure d’information est très contestable. En effet, la mesure d’information comme prévu par la loi doit obligatoirement contenir certaines mentions. Au titre de ces mentions figurent notamment la finalité du traitement, la base légale du traitement et les différents droits dont dispose la personne concernée vis-à-vis du traitement en question. Or, l’information collective fournie par le responsable de traitement dans le groupe de diffusion ne respectait pas les formes requises par la loi. Cependant, ce qui retient plutôt l’attention de l’ODPC, c’est l’absence de consentement des parents. L’autorité déplore le fait que les parents n’aient pas eu l’occasion de donner leur consentement pour le traitement des données de leurs enfants mineurs comme le prévoit l’article 33 de la loi. Ce fait constitue un manquement encore plus grave selon l’ODPC, car il retire à ce traitement sa base légale.
Dans l’ensemble des cas, l’ODPC a retenu des sanctions contre les différents responsables de traitement pour absence de base légale au traitement. À travers ces sanctions, l’ODPC a tenu à envoyer un message fort aux établissements appelés à traiter des données soumis à la loi kenyane. L’objet de ce message était de rappeler à ces derniers que la protection des données n’était pas une tendance ou une option. Il s’agit plutôt d’une obligation pour tous.
Par Franck ADOPO, doctorant en droit international du numérique et de la protection des données à caractère personnel.
Sources :
[1] Jacquemin H, Degrave E, eds. Le Règlement Général Sur La Protection Des Données (R.G.P.D./G.D.P.R.): Premières Applications et Analyse Sectorielle. Anthemis; 2020, p.25.
[2] Lo M. La protection des données à caractère personnel en Afrique: réglementation et régulation. Baol éditions; 2017, p.103.
[3] Tambou O, López Aguilar JF. Manuel de droit européen de la protection des données à caractère personnel. Bruylant; 2020, p.130.
[4] The Data Protection Act, 2019, article 2 (traduit).