Nul besoin d’expliquer à quel point la protection des données personnelles est devenu un enjeu économique et de souveraineté pour les États. Il suffit de faire un tour d’horizon sur l’actualité parlementaire des pays pour s’en rendre compte. De la publicité à la gouvernance des peuples par les données, nous avons chaque jour un exemple. De l’achat des biens ou de services, il faut parcourir l’historique de nos transactions sur le web pour évaluer le coût de notre activité même si nous pensons que nous utilisons gratuitement ces outils numériques.
La protection des données est un secteur qui traverse toute l’économie et depuis peu, est nécessaire à la vie de la nation. Pour ce dernier cas de figure, il faut trouver un équilibre entre les besoins régaliens de l’État d’avoir un aperçu sur sa population, de connaître celle-ci, et la nécessaire protection des droits fondamentaux à savoir, la liberté d’expression, la neutralité d’Internet entre autres.
Si vous n’avez pas le sésame qui donne droit à la mise en œuvre d’un traitement de données personnelles, vous êtes exposé à des sanctions et votre activité en pâtira. Pratiquement toutes les entreprises au monde ont besoin de données personnelles pour la constitution de base clients. La collecte n’est pas interdite, mais est encadrée afin de prévenir les dangers de l’exploitation illégale, nous pouvons penser au détournement de finalité par exemple. Dans nos pays, nous avons le service public qui, de plus en plus collecte des données alors que les dirigeants de ces entreprises sont souvent affiliés à des partis politiques. Ici, le challenge de l’autorité de régulation, c’est de faire en sorte que ces entreprises publiques soient en conformité et d’éviter le détournement de finalités.
Ainsi, avant de procéder au traitement, il faut effectuer les formalités préalables au niveau de la Commission de Protection des données personnelles (CDP).
Les formalités préalables.
Avant de mettre en œuvre un traitement de données personnelles, il faut satisfaire à l’obligation de déclaration au niveau de la Commission des Données Personnelles CDP sauf en cas de dispense (article 17 loi 2008) en dehors de ces cas, il vous faut l’obtention de l’autorisation pour les traitements qui sont placés sous ce régime. Si vous avez déjà commencé une collecte, vous n’avez plus de temps à perdre, allez faire la mise en conformité. Il est très fréquent, de nos jours de constater des failles de sécurité dans les systèmes informatiques ou tout simplement de subir des attaques visant les données personnelles. La mise en conformité vous permet de situer les différents niveaux de responsabilités et de réagir rapidement en cas de fuite de données personnelles.
Dans l’exercice de votre activité, vous aurez certainement besoin d’un sous-traitant. Il est courant de recevoir des propositions vous encourageant à externaliser votre communication, votre comptabilité ou la gestion de la relation client si ce n’est pas votre cœur de métier pour vous concentrer sur ce que vous faites réellement. Assurez-vous de la conformité de l’entreprise qui vous fait cette proposition. Par ailleurs, à défaut d’avoir des profils multitâches dans votre entreprise, vous aurez besoin d’un prestataire externe pour accomplir certaines actions inhérentes à votre activité. Par exemple, avec votre plateforme de e-commerce, vous aurez besoin d’un hébergeur, d’un développeur, d’un système de paiement en ligne et peut être d’un prestataire pour la livraison.
Est-ce qu’ils sont tous en odeur de sainteté avec l’autorité de régulation ? Si ce n’est pas le cas, votre activité sera touchée parce que depuis la session plénière de la CDP du 15 mars 2019, en application de l’article 39 de la loi n°2008–12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, le traitement de votre déclaration, par les services de la CDP est assujetti à la conformité du ou des sous-traitants(s) auxquels vous faites appel. La délivrance d’un récépissé nécessite au préalable un justificatif de la conformité du sous-traitant.
Alors il faut penser à un contrat vous liant avec le sous-traitant dans lequel vous allez définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, les obligations et les droits du responsable du traitement. Ce contrat doit prévoir que le sous-traitant :
a) ne traite les données à caractère personnel que sur l’instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu d’une obligation légale ;
b) Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, nous pouvons évoquer le cas des centres d’appels. Si toutefois la mise en conformité n’est pas de mise, la CDP risque de brandir des sanctions.
Le pouvoir de sanction de la CDP
En plus de bloquer votre activité par le fait des clients qui tiennent trop à la protection de leurs données personnelles, vous risquez, en ne respectant pas les formalités préalables de porter un coup dur à votre activité. En effet, l’autorité dispose d’un pouvoir de sanction dont elle ne fait presque pas usage ce qui est compréhensible si on prend en considération le temps consacré à la sensibilisation et à l’accompagnement. Mais, la tenue par la CDP d’un répertoire des traitements des données à caractère personnel mis à la disposition du public (article 16.4 de la loi 2008–12 du 25 janvier) devrait permettre aux utilisateurs de savoir si ceux qui collectent leurs données sont en règle.
Sanctions administratives et pécuniaires
Même si dans sa démarche la Commission des Données Personnelles privilégie le dialogue, l’accompagnement, elle a dans sa gibecière des outils lui permettant de reprendre les récalcitrants, ceux qui n’ont aucun respect pour la protection des données des clients. En effet, son pouvoir de sanction a pour siège les articles 29 et 30 de la loi 2008–12 du 25 janvier 2008. Elle peut prononcer les mesures suivantes :
- Un avertissement à l’égard du responsable du traitement ne respectant pas les obligations découlant de la loi de 2008 susmentionnée.
- Une mise en demeure de faire cesser les manquements concernés dans le délai qu’elle fixe.
Ainsi, de façon graduelle, si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a été adressée, la Commission peut prononcer à son encontre, après procédure contradictoire, les sanctions suivantes :
Un retrait provisoire de l’autorisation accordée pour une durée de trois (3) mois à l’expiration de laquelle, le retrait devient définitif ;
Une amende pécuniaire d’un (1) million à cent (100) millions de Franc CFA ; le recouvrement des pénalités se fait conformément à la législation relative au recouvrement des créances de l’État.
En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation de données personnelles entraîne une violation de droits et libertés, la Commission, après procédure contradictoire, peut décider :
- l’interruption de la mise en œuvre du traitement pour une durée maximale de trois (3) mois ;
- le verrouillage de certaines données à caractère personnel traitées pour une durée maximale de 3 mois ;
- l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la présente loi.
Si on revisite les missions de la CDP, nous voyons qu’elle doit garantir que l’exploitation des données personnelles n’impacte pas négativement les droits fondamentaux des personnes concernées. Par ailleurs, retenons que ses décisions sont susceptibles de recours devant la cour suprême.
Les sanctions pénales
Dans la section II de la loi de 2016 modifiant le code pénal, nous avons la prise en compte des atteintes spécifiques aux droits de la personne au regard du traitement des données à caractère personnel.
Dans les article 431–14 et suivants nous avons la protection pénale des données à caractère personnelles contre la collecte illégale. Celui qui, même par négligence, procède ou fait procéder à des traitements de données à caractère personnel sans avoir respecté les formalités préalables à leur mise en œuvre prévues par la loi sur les données à caractère personnel, est puni d’un emprisonnement d’un an à sept ans et d’une amende de 500 000 francs à 10.000.000 de francs ou de l’une de ces peines.
Un traitement de données personnelles, c’est : toute opération ou ensemble d’opérations prévues à l’article 2 de la présente loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.
En cas de récidive, même par négligence, si vous procédez ou faites procéder à un traitement qui a fait l’objet d’une mise en demeure suite à laquelle vous n’êtes toujours pas en conformité, vous risquez un emprisonnement d’un an à sept ans et une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines.
Dans la gestion du traitement, le responsable est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il s’agit de l’obligation de sécurité consacrée par l’article 71 de la loi sur les données à caractère personnel. Vous devez par exemple
- Garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence. C’est ce qu’on appelle le Need to know, le besoin d’en savoir. Il faut veiller à catégoriser les différents accès en fonction des fiches de poste, des tâches de chaque intervenant.
- Garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises et qui a accès aux données quand et est ce qu’il y a eu téléchargement sur un support.
Il s’agit des obligations qu’il faut respecter sous peine de sanction pouvant aller d’un emprisonnement d’un an à sept ans et, d’une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines.
Toujours dans cette chaine de conformité il faut veiller à sensibiliser les collaborateurs. Pour une meilleure sécurité des données. Ces derniers ne doivent pas constituer le maillon faible de la sécurité. C’est l’occasion d’informer les collaborateurs sur leur responsabilité car si vous collectez en tant que employé des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, vous risquez un emprisonnement d’un an à sept ans et d’une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines. Ce point n’est pas à négliger, il faut en tant que responsable, mettre les moyens pour assurer la sécurité informatique et former les collaborateurs. C’est ce qui permet d’établir la responsabilité de chacun et de faciliter la recherche de preuve. Si vous devez quitter une entreprise de grâce, ne commettez pas cette infraction. Parfois vous pouvez penser que c’est votre droit le plus absolu mais ce n’est pas toujours évident demandez conseil, consultez la charte informatique.
Même si vous avez le sésame de la CDP pour mettre en œuvre un traitement, c’est là, le point de départ de votre responsabilité. Vous aurez à faire un suivi adossé sur la compliance, le respect des droits des personnes concernées revient au responsable de traitement que vous êtes. C’est pourquoi il est très utile de se faire accompagner par un professionnel, un DPO data protection officer afin d’éviter l’énorme sanction qui plane sur votre tête. (Un an à sept ans et d’une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines.)
Après votre déclaration, une personne physique concernée peut s’opposer au traitement et vous avez l’obligation d’accepter son refus. Par exemple il faut éviter d’envoyer des sollicitations à cette personne par mail ou sms. Dans le cadre de la prospection directe ce qu’il faut éviter, c’est d’utiliser la même base de données pour tout et n’importe quoi. C’est le cas si vous avez donné votre consentement pour des produits et services téléphonique et que vous recevez des messages pour le concert de Waly ou une invitation pour acheter un ticket payperview pour suivre un combat de lutte. Ce droit est consacré par l’article 68 de la loi sur les données à caractère personnel. Lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, la sanction est indiscutable.
En définitive, il n’est pas interdit de collecter des données, mais comprenons que c’est une activité bien encadrée et cet encadrement, c’est pour garantir la confiance dans une économie numérique qui a besoin de redonner à l’humain toute sa place. Donc collectez, mais légalement, licitement loyalement….
Emmanuel Diokh, Président Internet Sans Frontières Senegal, Responsable Pédagogique, Formateur Juriste (TIC-IP-IT) CyberDroit
(Source : Emmanuel Diokh, 2 mars 2022)