Wikipedia

Résultats de recherche

Translate

Affichage des articles dont le libellé est Fusion. Afficher tous les articles
Affichage des articles dont le libellé est Fusion. Afficher tous les articles

mercredi 6 mai 2026

Union ou confusion ? La fusion du régulateur de la communication et de l’autorité de protection des données au Burkina Faso

mai 06, 2026  , , , , , , ,  No comments






Arnaud NADINGA

Docteur en droit privé

Enseignant-chercheur

 

Le 20 janvier 2026, l’Assemblée Législative de Transition (récemment renommée Assemblée Législative du Peuple[1]) a adopté la loi constitutionnelle n° 004-2026 portant révision de la Constitution. Cette loi[2], déclarée conforme à la Constitution par décision n° 2026-05/CC du Conseil constitutionnel en date du 10 février 2026, a, entre autres questions[3], acté la fusion du Conseil Supérieur de la Communication (CSC) et de la Commission de l’Informatique et des Libertés (CIL). C’est ce qu’énonce son article 160.3 en ces termes : « Il est institué un organe de régulation de la communication et de la protection des données à caractère personnel ». La détermination des attributions, de la composition, de l’organisation et du fonctionnement de l’organe est, elle, renvoyée à une loi organique par l’article 160.4. C’est la même loi organique qui se chargera de la précision de la dénomination exacte de l’organe, pour « éviter d’éventuelles modifications constitutionnelles […] suscitées par le seul besoin d’adaptation de la dénomination de l’instance pour l’adjonction ou la soustraction de compétences en lien avec l’évolution des TIC »[4]. C’est ce nouvel organe qui aura, désormais, la lourde tâche de réguler la communication et de veiller au respect de la législation portant protection des personnes à l’égard du traitement des données à caractère personnel. Il reste à savoir si ce choix est pertinent, particulièrement pour les besoins de protection des données à caractère personnel. Est-il véritablement opportun de mettre fin à l’architecture institutionnelle actuelle dédiée à la protection des données et, surtout, de fusionner la CIL avec le CSC ? C’est la question à laquelle la présente réflexion tentera de répondre en convoquant à la fois les motifs et les enjeux actuels de la protection des données. Il convient d’une part de tenter de comprendre les motifs de la fusion (I), puis d’apprécier sa pertinence (II).

I.        Les motifs de la fusion

Énoncés dans l’exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, les motifs de la fusion sont multiples, mais peuvent être regroupés en deux points. Tandis que certains reposent sur une convergence des compétences des deux autorités (A), d’autres évoquent plutôt des objectifs d’efficience institutionnelle (B).

A. La convergence des compétences des deux autorités

En faveur de la fusion, le premier argument avancé est un rapprochement des attributions des deux autorités. Ce rapprochement s’observerait « en matière de protection des personnes et de la vie privée sur le réseau internet, où il est apparu la nécessité de concilier liberté d’expression, évolution technologique dans les moyens de surveillance et de traitement des données et protection des droits des personnes à travers leur réputation et leur vie privée »[5]. Il est souligné que la convergence entre l’informatique, les télécommunications et l’audiovisuel qui a donné naissance à l’internet aurait également entrainé une déspécialisation des réseaux et rendu « inopérant les frontières artificielles qui [les] séparaient jadis »[6]. De ce fait, il se poserait des problèmes de cohérence et d’efficacité si ces réseaux étaient régulés par des institutions différentes[7]. Le rapprochement serait également dû aux nouvelles attributions du CSC résultant de la loi organique n° 041-2023/ALT du 21 novembre 2023[8] et portant sur la régulation des contenus des plateformes numériques. Ces nouvelles attributions, notamment la régulation des contenus des blogueurs, des web activistes et des influenceurs[9], les pouvoirs d’injonction aux plateformes numériques[10] et les missions de veille au respect de l’éthique professionnelle, à la protection de la personne humaine et de la société[11], entraineraient des « chevauchements avec les compétences et attributions de la CIL ». Elles conduiraient le CSC « à intervenir également sur internet, notamment pour réguler les données personnelles et la vie privée »[12]. Cet argument pourrait être soutenu, notamment par l’article 54 de la loi n° 045-2009/AN du 10 novembre 2009 portant réglementation des services et des transactions électroniques au Burkina Faso, lequel charge le CSC de veiller au respect des principes régissant l’exploitation des données à des fins de prospection directe. Enfin, la convergence tiendrait au fait que les deux autorités sont des régulateurs « de contenus » dont les « champs d’action tendent à se concentrer principalement sur internet et les plateformes numériques »[13]

Au-delà de la convergence des attributions, la fusion se justifierait aussi par le besoin d’efficience institutionnelle. 

B. L’efficience institutionnelle

Le motif de la fusion fondé sur l’efficience institutionnelle se décline en trois points. Le premier est relatif au besoin de cohérence dans les interactions entre les institutions du pays et les plateformes numériques. La fusion servirait ici à limiter les effets négatifs de la pluralité des interlocuteurs étatiques dans les discussions avec les plateformes pour la « prise en compte de[s] réalités et de[s] valeurs [du pays] dans les paramètres de régulation des contenus des réseaux sociaux »[14]. Cette pluralité d’interlocuteurs ne permettrait pas aux plateformes de s’organiser pour répondre efficacement aux requêtes des autorités ou de « prendre des mesures, notamment la désignation de points focaux pour établir un contact permanent afin de faciliter la résolution des problèmes »[15]. La fusion contribuerait ainsi à « réduire […] le nombre d’acteurs qui sont susceptibles d’adresser les mêmes types de requêtes à ces plateformes pour plus d’efficacité »[16].

Le deuxième volet concerne la simplification des démarches de conformité pour les usagers, les responsables de traitements et les médias. La fusion est censée simplifier les démarches pour « les usagers, qui confondent souvent les deux institutions, et […] leur offrir ainsi un point d’entrée unique pour un ensemble de services connexes liés à la société de l’information »[17].

Le dernier point a trait à la mutualisation des moyens. La fusion permettrait une « mutualisation des compétences et des ressources des deux institutions, qui, dans leur organisation et fonctionnement, ont plusieurs points de similitude »[18]. À terme, il s’agirait de permettre à l’État de réaliser des « économies d’échelle dans la gouvernance institutionnelle »[19]

Globalement, la fusion vise à « renforcer l’efficacité de la régulation des contenus internet, en confiant à une même institution la régulation de la communication et celle des données à caractère personnel »[20]. Cela devrait, de l’avis des initiateurs, « renforcer[…] la promotion des libertés et la protection des personnes et de la société contre les abus de la liberté d’expression et des autres libertés résultant de l’évolution technologique »[21]. La liste de ces motifs traduit une conviction : la gouvernance numérique d’un État ne peut plus se déployer efficacement à travers des institutions cloisonnées. Cette conviction est-elle suffisante pour légitimer la fusion ?

II.   La pertinence de la fusion

Si l’ambition de bâtir une autorité administrative capable de réguler de manière unifiée l’écosystème numérique est défendable (A), elle n’est cependant pas exempte de limites. Le choix opéré par le constituant aurait mérité d’être confronté à d’autres options (B).

A. Une fusion aux fondements défendables 

L’argument de la rationalisation budgétaire et organisationnelle est l’un des plus concrets. À l’instar de nombre d’autorités de protection des données à travers le continent, la CIL souffre depuis sa création en 2004 d’une insuffisance de moyens humains et financiers qui compromet l’exercice effectif de ses missions et qui jusque-là ne lui a pas permis de s’affirmer et d’occuper pleinement la place de doyenne[22] qu’elle revendique au sein des autorités sœurs du continent. Il faut noter et regretter les carences des gouvernements successifs qui ne lui ont pas fourni suffisamment de financements[23] et des moyens juridiques nécessaires à la réalisation de ses missions (jusqu’aujourd’hui, les textes règlementaires devant lui permettre, conformément à la loi, de percevoir des redevances sur les formalités préalables n’ont pas été adoptés)[24]. La mutualisation annoncée des ressources des deux autorités — locaux, systèmes d’information, personnels techniques — constitue en ce sens une réponse pragmatique à une contrainte réelle. Le choix de la fusion au Burkina Faso n’est pas sans précédent dans l’espace africain. La Côte d’Ivoire a opté pour une architecture proche avec l’Autorité de Régulation des Télécommunications et des TIC (ARTCI), qui exerce des attributions englobant à la fois les communications électroniques et la protection des données personnelles. Le plus souvent, l’objectif est bien de limiter les effets des contraintes budgétaires et de faire face plus sereinement à l’émergence simultanée des enjeux numériques. 

Pour autant, l’apport le plus significatif de la révision constitutionnelle reste celui qui passe le plus inaperçu dans le débat sur la fusion : l’article 160.3 de la loi constitutionnelle n° 004-2026 inscrit pour la première fois dans la Constitution burkinabè une autorité chargée de la protection des données. Cet ancrage constitutionnel confère à la future institution une légitimité et une stabilité que la CIL, créée par voie législative ordinaire, ne possédait pas. Il acte ce faisant une fondamentalisation[25] de la protection des données personnelles, aux côtés du droit au respect de la vie privée et du secret des correspondances. Cette constitutionnalisation de la protection des données était attendue de longue date. Tentée sans succès juste après l’insurrection populaire d’octobre 2014, elle n’avait pas non plus aboutie avec l’avant-projet de Constitution de la Ve République[26]. La constitutionnalisation du droit à la protection des données est d’autant plus bienvenue que les conséquences pratiques des manquements en la matière — violations de la vie privée, surveillance de masse, exploitation commerciale des données des citoyens — s’intensifient avec les crises sécuritaires et politiques actuelles et l’avancée du numérique. La question demeure toutefois de savoir si cette « fusion-constitutionnalisation » renforcera la protection des libertés des personnes.

B. Une fusion sujette à des critiques

La fusion du CSC et de la CIL est critiquable en raison de l’exploration incomplète des alternatives. Le principal écueil de cette fusion tient à la nature profondément distincte des missions confiées aux deux autorités actuelles. Le CSC est évidemment un régulateur de contenus : il garantit le pluralisme des opinions, arbitre les conflits liés à la liberté d’expression, encadre l’information et la communication audiovisuelle[27]. La CIL est, quant à elle, un régulateur de traitements de données personnelles : sa mission est de protéger les individus contre la collecte et l’exploitation abusives de leurs informations personnelles, quelle qu’en soit la finalité — commerciale, administrative, judiciaire ou médicale[28]. Du reste, la protection des données ne se limite pas aux contenus circulant sur internet. Elle s’étend à tout traitement, automatisé ou non, de données personnelles et quel qu’en soit le support ; lequel support peut se trouver également encadré. La réduction de la CIL à une autorité de « régulation des contenus » numériques nous paraît donc discutable. Il faut également souligner que la régulation des communications et la protection des données peuvent parfois être antagonistes. Certes, la régulation des communications ou des contenus peut servir les mêmes intérêts que la protection des données personnelles (vie privée, interdiction de la discrimination, etc.), mais un régulateur de communication peut être tenté, pour des raisons sécuritaires ou politiques, de tolérer ou même de faciliter des traitements de données qui enfreindraient les droits fondamentaux des individus. En confiant ces deux tâches à un même organe, on prend le risque que la protection des données personnelles soit subordonnée aux impératifs de la régulation des contenus, au détriment de son autonomie.

Malgré le manque de ressources de la CIL, la fusion avec le CSC ne nous paraît pas la seule option. Une première alternative, pour une meilleure protection des libertés, aurait été le renforcement des moyens de la CIL à travers une meilleure dotation en compétences techniques et en capacités de financement. S’y ajouterait une refonte de sa politique interne et de ses pratiques dans le domaine de l’application de la législation. Cette voie aurait permis de donner des habits neufs à la vieille dame et de ne pas la forcer à entrer dans ceux, plus larges, cousus pour une autre. La seconde alternative aurait consisté à envisager un rapprochement plutôt avec l’ARCEP. Les missions de l’ARCEP — réglementation des réseaux et des opérateurs — présentent clairement une proximité technique avec les enjeux de protection des données, bien plus grande que celles du CSC : les opérateurs de télécommunication sont parmi les principaux collecteurs de données personnelles et une synergie entre régulation des réseaux et protection des données est techniquement cohérente. C’est justement le choix fait par la Côte-d’Ivoire avec l’ARTCI. Ce rapprochement n’aurait pas emporté les risques liés à la confusion entre liberté d’expression et protection des données. En faisant le choix de fusionner la CIL avec le CSC, on prend le risque d’affaiblir congénitalement la nouvelle structure ; appelée à trouver vaille que vaille un équilibre entre deux droits généralement antinomiques, elle risque, au final, de passer à côté de la protection de l’un comme de l’autre. À cela même, on pourrait ajouter une autre limite de la fusion qui tient à l’exclusion actuelle par l’article 4 de la loi sur la protection des données[29] des activités journalistiques de son champ d’application. Si les acteurs dont l’activité relève principalement des missions du CSC ne sont pas tenus de respecter la loi sur la protection des données, on peut douter de l’utilité de la fusion.

Au-delà du débat sur la fusion, la réflexion conduite à l’occasion de la révision constitutionnelle aurait gagné à s’inscrire dans une approche plus prospective. L’intelligence artificielle (IA) génère aujourd’hui des défis majeurs pour la protection des données personnelles — entraînement de systèmes sur des données sensibles, biais algorithmiques, décisions automatisées — qui nécessitent des compétences techniques et juridiques pointues. En droit comparé, bien de législations sur l’IA considèrent les autorités de protection des données comme des acteurs clés du contrôle des systèmes d’IA à haut risque. Il convient de se demander si la future autorité issue de la fusion sera en mesure d’assumer simultanément la régulation des contenus audiovisuels et numériques, la protection des données personnelles et à terme, la supervision des systèmes d’IA. Il est bien de rationaliser les moyens et de simplifier les démarches de conformité. Pour autant, la concentration de ces missions dans une seule autorité risque de diluer les capacités. La loi organique en discussion, à laquelle il revient de préciser les attributions du nouvel organe, devra veiller à ne pas créer une institution « à tout faire » qui serait, en réalité, une institution ne faisant rien suffisamment bien. 

 

En définitive, si la fusion du CSC et de la CIL s’appuie sur des motifs soutenables, elle soulève néanmoins des questions fondamentales sur la compatibilité des logiques de régulation des contenus et de protection des individus. La pertinence de cette réforme dépendra de deux choses. En premier lieu, il s’agit du modèle de gouvernance qui sortira de la cuisine de la loi organique pour la nouvelle autorité. Pour être crédible, ce modèle devra nécessairement garantir l’indépendance fonctionnelle de la mission de protection des données au sein de la structure unifiée. En second lieu, le renforcement de la protection des libertés, individuelles ou collectives, dépendra de la considération que les gouvernants auront pour la protection des données : protéger et respecter les droits sur les données.


[1] L’adoption en date du 27 mars 2026 de la Charte de la Revolution, qui remplace la Charte de la Transition, a acté le changement de la dénomination de l’Assemblée Législative de Transition en Assemblée Législative du Peuple. Voy. sur cette question, SIDWAYA, « Charte de la Révolution: l’Assemblée législative de transition devient Assemblée législative du peuple », 30 mars 2026.

[2] Elle a été promulguée par décret n°2026-0090/PF en date du 13 février 2026.

[3] Outre la fusion des deux organes, la loi constitutionnelle du 20 janvier 2026 a créé un organe de contrôle et de lutte contre la corruption en remplacement de l’Autorité supérieure de contrôle d’État et de lutte contre la corruption (article 160.5) et modifié l’organisation du territoire (articles 143 et 144) et le domaine de la loi dans la répartition des compétences avec l’exécutif (article 101).

[4] Exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, p. 6.

[5] Exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, p. 4.

[6] Ibid.

[7] Il convient de noter que si c’est cela l’inquiétude, la fusion de la CIL et du CSC n’épuisera pas le sujet. D’autres autorités continuent d’intervenir dans la régulation des réseaux. Il en est notamment de l’Autorité de régulation des communications électroniques et des postes (ARCEP) et de l’Agence nationale de sécurité des systèmes d’information (ANSSI). À moins qu’à terme l’objectif ne soit de réunir toutes ces attributions au sein d’un seul organe, ce qui maintiendrait sans doute les problèmes d’efficacité et de cohérence des missions.

[8] Loi organique n°041-2023/ALT du 21 novembre 2023 portant attributions, composition, organisation et fonctionnement du Conseil supérieur de la communication (ci-après, loi organique sur le CSC).

[9] Voy. l’article 3 de la loi organique sur le CSC : « L’autorité du Conseil supérieur de la communication s’exerce dans les domaines ci-après : […] les contenus des publications de tout site de blogueur, de web-activiste, d’influenceur ou de tout autre internaute disposant d’au moins cinq mille abonnés, amis ou suiveurs en ligne. ».

[10] Ces pouvoirs sont consacrés aux articles 56 à 58 de la loi organique sur le CSC. L’article 56 permet au CSC de « demander à tout exploitant de moteur de recherche, annuaire ou autre service de référencement, de faire cesser le référencement des adresses électroniques donnant accès à [d]es services audiovisuels de communication au public en ligne ». L’article 57 lui permet d’« ordonner par décision, à tout fournisseur d’accès à Internet, hébergeur de site ou intermédiaire technique offrant un accès à des services de communication au public en ligne ou assurant à titre gratuit ou onéreux le stockage direct et permanent pour mise à disposition de contenus, la suspension immédiate de l’accès audit service ou contenu malveillant ». Quant à l’article 58, il permet au titulaire de droits exploités illégalement de saisir, sur décision du CSC, « le prestataire technique de la diffusion, le fournisseur d’accès à Internet ou tout intermédiaire en vue d’empêcher l’accès au contenu incriminé ou de procéder à son retrait ».

[11] Article 5 de la loi organique sur le CSC : « Le Conseil supérieur de la communication a pour attributions notamment de : […] veiller au respect de l’éthique professionnelle par les entreprises de communication audiovisuelle, de presse écrite et en ligne privées et publiques, et par les animateurs et journalistes professionnels ; veiller à la protection de la personne humaine et des personnes morales contre les violences résultant de l’activité du secteur de la communication ; veiller à la protection de la société contre la désinformation, la stigmatisation et le discours de haine […] ».

[12] Exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, p. 4.

[13] Ibid., p. 5.

[14] Ibid.

[15] Ibid

[16] Ibid.

[17] Exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, p. 5. C’est là également un argument fort. La multiplicité des autorités intervenant dans la régulation des activités numériques entraine des chevauchements de compétences et oblige les acteurs assujettis à devoir multiplier les démarches. On peut citer l’exemple d’une violation de la sécurité d’un système d’information qui peux exiger une notification à la fois à la CIL (si des données personnelles ont fuité), à l’ARCEP (s’il s’agit de la sécurité du système d’information d’un fournisseur de services de communications électroniques) et à l’ANSSI (dès lors qu’il s’agit d’une compromission ayant un impact critique). Sur ces exigences de notification, voyez les articles 10 et 24 de la loi n°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel, l’article 45, b de la loi n°061-2008/AN du 27 novembre 2008 portant réglementation générale des réseaux et services de communications électroniques au Burkina Faso et l’article 13 de la loi n°014-2024/ALT du 09 juillet 2024 portant sécurité des systèmes d'information au Burkina Faso 

[18] Exposé des motifs du projet de loi constitutionnelle portant révision de la Constitution, p. 5.

[19] Ibid.

[20] Ibid.

[21] Ibid.

[22] La CIL fait partie des premières autorités de protection des données à avoir été créées et installées sur le continent. Elle a été créée en 2004 par la loi n°010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel au Burkina Faso et installée en 2007 par décret n° 2007-283/PRES/PM/MPDH du 18 mai 2007 portant organisation et fonctionnement de la Commission de l’Informatique et des libertés (CIL).

[23] Sur ces insuffisances, voy. notamment M. KING’ORI et H. DORWART, « A Look into DPA Strategies in the African Continent », Future of Privacy Forum, 2022, p. 24.

[24] Au-delà de la fourniture par les gouvernements successifs de moyens insuffisants, il faut aussi regretter la politique interne de l’autorité de protection qui n’a pas permis de recruter des compétences pointues pour donner plus d’effets à la loi, construire une jurisprudence solide et s’autofinancer (ne serait-ce qu’à travers les amendes). La majorité des actions de l’autorité est plutôt orientée vers les activités de sensibilisation. Certes, la sensibilisation constitue un point important dans la régulation, mais il faut qu’elle s’accompagne d’actions fortes. Cela contribue aussi à asseoir et à renforcer l’autorité et la crédibilité du régulateur.

[25] Sur la fondamentalisation de la protection des données personnelles en Afrique de l’Ouest, voy. également l’article 12 de la Constitution de la république du Mali promulguée par décret n°2023-0401/PT-RM du 22 juillet 2023 : « Le domicile, le domaine privé, la vie privée et familiale, les données à caractère personnel, le secret de la correspondance et des communications sont inviolables. Il ne peut y être porté atteinte que dans les conditions prévues par la loi ».

[26] L’article 10 de cet avant-projet de Constitution modifiait l’article 6 actuel ainsi qu’il suit : « La demeure, le domicile, la vie privée et familiale, le secret de la correspondance et les données à caractère personnel de toute personne sont inviolables ».

[27] Voy. notamment l’article 5 de la loi organique sur le CSC.

[28] Voy. notamment l’article 45 de la loi n°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel.

[29] Article 4 de la loi n°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel : « La présente loi ne s’applique pas aux […] traitements de données à caractère personnel effectués aux seules fins […] de journalisme, quel que soit le média utilisé, dans le respect des règles déontologiques et éthiques de ces professions, des mesures de sécurité assurant le secret des sources journalistiques, ainsi que des règles de modération applicables aux forums de discussion mis en œuvre par des éditeurs d’informations journalistiques ». Pour une critique de cette exclusion, voy. A. NADINGA, « Burkina Faso : journalisme et protection des données personnelles », Africa Data Protection Report, janvier 2024, p. 42.

Read More
Inscription à : Articles (Atom)