On ne cessera de le dire, la donnée personnelle constitue le poumon de l’économie numérique. Son importance de plus en plus grandissante suscite de la part des Etats des inquiétudes les emmenant à tenter de cerner les flux de données personnelles par la mise en place d’un cadre juridique règlementant la collecte, le traitement et éventuellement leur transfert hors des frontières de l’Etat.
La protection des données personnelles dans l’univers dématérialisé est une question d’actualité d’autant plus que presque tous les Etats et organisations Communautaires en Afrique ont entamé le processus de dématérialisation pour une administration connectée permettant aux administrés d’effectuer les démarches sans fournir assez d’efforts quitte à avoir accès à internet. C’est notamment le cas avec l’informatisation du RCCM (Registre du Commerce et du Crédit Mobilier) qui permettra d’avoir rapidement les informations sur les commerçants et sur la légalité de leurs activités.
Toutefois, faut-il signifier que dès lors qu’il y a collecte de données à caractère personnel en vue d’un traitement, il s’impose pour la personne du responsable du traitement une mise en conformité aux dispositifs juridiques sur la protection des données personnelles. La mise en conformité du responsable de traitement revêt donc une importance capitale. Sans lister tous les éléments indispensables à la mise en conformité d’un responsable de traitement à savoir la tenue d’un registre de traitement, l’analyse d’impact pour évaluer les risques que le traitement pourrait engendrer pour les personnes concernées, la présence d’un DPO dans certaines entreprises, il sera question pour nous de préciser dans le présent article, l’importance de la mise en conformité pour un responsable de traitement.
La question de la protection des données est une question très délicate dans un monde où l’information n’est jamais neutre. Il est évident que tous les individus indépendamment de leurs niveaux sont producteurs de données personnelles, laquelle production de données personnelles n’est pas subordonnée à un accès à internet.
Dès lors qu’une personne physique ou morale prend l’initiative d’une quelconque collecte d’informations permettant d’identifier une personne physique, elle s’érige en responsable de traitement. Cette qualité de responsable de traitement appelle au respect des dispositifs relatifs à la protection des données personnelles.
C’est toutefois le moment de rappeler que le respect des règles protectrices des données personnelles des individus s’impose non seulement au responsable de traitement conformément à l’article 24 al 1 du RGPD qui dispose que « compte tenu de la nature, de la portée, du contexte et des finalités du traitement (…) le responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. » mais aussi à toutes les personnes intervenant dans le processus de collecte, de traitement des données personnelles notamment le sous-traitant.
Il ressort des dispositions de l’article 20 de la loi ivoirienne n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel que : « Lorsque le traitement des données à caractère personnel est mis en œuvre pour le compte du responsable du traitement, celui-ci doit choisir un sous-traitant qui apporte des garanties suffisantes pour la protection et la confidentialité de ces données.
Il incombe au responsable du traitement ainsi qu’au sous-traitant de veiller au respect des dispositions de la présente loi ».
Ces articles montrent que la question de la conformité au droit des données à caractère personnel concerne tous les individus intervenant dans la mise en œuvre du traitement même si les degrés de responsabilité pour non-respect des règles en la matière diffèrent selon qu’on soit en Europe avec le RGPD où il est prévu une responsabilité propre du sous-traitant contrairement à la loi ivoirienne où les responsabilités pour manquement à la protection des données pèsent à titre principal sur le responsable de traitement.
Le processus de mise en conformité est d’une importance indiscutable. La conformité pour un responsable de traitement (personne morale ou physique) est un gage de sécurité et de confiance tant dans ses relations avec la personne concernée qu’avec ses partenaires commerciaux. En effet, vu le « caractère patrimonial des données personnelles dans la pratique », (qui jusque-là n’est pas consacré juridiquement du fait de l’indisponibilité de principe des données personnelles) les personnes concernées sont à la recherche de responsables de traitement pouvant leur permettre de non seulement protéger leurs données personnelles par la mise en place de systèmes sécuritaires adéquats mais aussi par un exercice véritable des droits qui leurs sont reconnus.
En outre, faut-il signifier et c’est pour nous le « plus important » que, la conformité d’un responsable de traitement aux dispositifs relatifs à la protection des données lui permet d’avoir de potentiels partenaires commerciaux surtout européens. Aucun Etat ne peut vivre en vase clos car de telles tentatives ont des pourcentages d’échec plus qu’élevés. De cette même façon, aucune entreprise (responsable de traitement) ne peut effectuer et développer ses activités pour faire des profits pécuniaires sans avoir des partenaires commerciaux.
C’est dans un tel contexte que la conformité aux dispositifs juridiques sur la protection des données prend tout son sens. En effet, les données personnelles peuvent être traitées initialement à l’intérieur d’un seul pays mais, lorsque l’entreprise (responsable de traitement) aura des partenaires étrangers, les données personnelles devront fluer d’un Etat à un autre.
Dans un tel cas de figure, le responsable de traitement voulant établir un partenariat commercial devra justifier de sa mise en conformité par rapport à la loi de son Etat. A y voir de près, la mise en conformité devient dans les relations d’affaires l’une des conditions en vue de l’établissement desdites relations. Cela signifie qu’au-delà d’avoir les moyens pour proposer des prestations innovantes au cocontractant, ce qui est d’ailleurs important, il faut en sus être conforme à la loi dès lors que l’on traite des données personnelles d’autant plus que le non-respect des dispositions en la matière est sanctionné. En clair la célérité et la sécurité dans les relations d’affaires prennent désormais en compte la protection des données à caractère personnel. Par conséquent, être conforme aux dispositifs sur la protection des données personnelles est un atout indéniable pour conquérir de nouveaux marchés.
En Côte d’Ivoire, l’Autorité de Régulation (ARTCI) a d’ailleurs lancé le processus de mise en conformité en facilitant l’obtention de l’autorisation pour le traitement des données personnelles par la délivrance d’une autorisation unique. Ce processus est une opportunité inouïe à saisir pour les entreprises ou de façon générale les responsables de traitement pour effectuer leurs activités en toute légalité afin de ne pas subir des sanctions qui paraitront dans un journal d’annonces légales car cela ternirait à jamais l’image d’un tel responsable de traitement.
Recherche Avancée sur le Village