mardi, mars 19, 2024

Protection des données à caractère personnel, quels enjeux pour les entreprises établies au Sénégal ?

0 commentaire

L’exploitation, la valorisation et la circulation des données occupent une place centrale dans les stratégies d’entreprise dès lors elles doivent se concilier avec les impératifs de sécurité et de protection des libertés, en l’occurrence la protection des données personnelles. Afin de rester en conformité, les entreprises implantées au Sénégal traitant de la donnée personnelle sont astreintes à certaines obligations et corrélativement doivent s’adapter à la Réglementation européenne dénommée RGPD[1] s’imposant désormais dans le marché du numérique. Dans ce contexte, il est opportun de repenser l’encadrement juridique de la protection des données face aux défis actuels.

L’impact du RGPD sur le marché numérique mondial

Pour rappel, la loi Sénégalaise du 25 janvier 2008 sur la Protection des données à caractère personnel – ci-après “LDCP” réglemente la collecte et l’utilisation des données personnelles et instituant une autorité de contrôle dénommée la Commission de Protection des Données : “CDP” chargée de faire appliquer ladite loi. A ce titre, bons nombres d’obligations sont à la charge des responsables de traitement telles que l’obligation générale de sécurité et de confidentialité, l’obligation d’information, le respect des droits des personnes concernées, une durée de conservation limitée et une finalité déterminée pour chaque traitement mis en œuvre. Sous ce rapport, ces exigences ont été reconduites par le RGPD tout en renforçant les droits des personnes leur permettant ainsi d’avoir une meilleure maîtrise de leurs données.

Bien qu’il s’agisse d’une réglementation européenne, les entreprises établies hors d’Europe doivent s’y conformer pour pouvoir offrir leurs services dans l’Union. Le RGPD est donc susceptible de s’appliquer à tout organisme traitant des données personnelles de résidents européens dans le cadre de son activité ou pour le compte d’un tiers indépendamment du pays d’implantation, de sa taille et de son activité. À l’inverse, une entreprise établie en France qui exporte des produits vers le Sénégal et à destination de citoyens sénégalais doit se conformer au RGPD.

Lire aussi: L’Afrique face au RGPD, quelles incidences pour le Sénégal?

Même si l’on peut être critique sur son ambition extraterritoriale, il faut reconnaître comme l’affirment certains auteurs que le RGPD, est un véritable outil de softlaw pour l’Europe du numérique pour les éditeurs non européens[2]. Il incite à mettre en place une politique globale de protection des données en entreprise en supprimant les formalités préalables moyennant un renforcement des obligations du responsable de traitement. À cela, s’ajoute l’obligation de notifier sous 72 heures la violation de données au régulateur. De plus, le RGPD corrige le déséquilibre entre le responsable de traitement et le sous-traitant en conférant une responsabilité autonome à ce dernier même établi hors UE. Il intègre également le Privacy by Design dès la conception des produits ou traitements et impose la tenue de registres aussi bien pour le responsable que le sous-traitant. Le Règlement renforce les droits classiques des citoyens tout en créant de nouveaux droits, notamment la portabilité[3] et l’oubli.

Il est à noter que la notion d’Accountability[4], fil conducteur du RGPD, est complétée par une évaluation anticipée des risques avec la mise en place obligatoire de l’analyse d’impact pour certains traitements à risque. Les sanctions pécuniaires ont été revues à la hausse pouvant atteindre 4% du chiffre d’affaire mondial de l’entreprise ou 20 millions d’euros. Il est donc fondamental que toutes les entreprises voulant prester à destination des résidents européens se conforment aux obligations précitées.

Sur le plan économique, les transferts de données de résidents européens vers les pays tiers, à l’instar des pays africains, doivent nécessairement être encadrés par des instruments spécifiques tels les codes de bonne conduite, de clauses contractuelles type ou des certifications tendant à assurer une bonne politique de gestion des données personnelles.

Il est donc primordial que ces entreprises se mettent à niveau pour être attrayantes. Le RGPD est une réponse visant à restaurer la confiance des individus face à la prolifération des technologies numériques collectant massivement les données personnelles. Il a contribué à bouleverser la pratique des entreprises en matière de collecte et d’utilisation des données personnelles.

Les pistes formulées pour une évolution de la protection des données personnelles

Le RGPD est un texte de modernisation du droit de la protection des données personnelles, qui avait besoin d’un urgent toilettage pour tenir compte du développement d’internet, des réseaux sociaux et des technologies avancées.

Aujourd’hui avec la généralisation des algorithmes reposant sur l’analyse automatisée des données personnelles, de nouveaux moyens de collecte des données sont apparus et les lois actuelles paraissent insuffisantes pour les encadrer. Tout de même, des concepts axés sur la méthodologie comme le Privacy by design, by default ainsi que l’analyse de risque permettent, a minima, d’anticiper les nouveaux usages du numérique en termes de sécurité et de confidentialité.

Pour le Sénégal et l’Afrique, Il est donc impératif que le cadre législatif actuel se modernise afin de répondre au mieux au besoin d’encadrement qu’imposent ces traitements de données à caractère personnel issus de ces innovations nouvelles. Or, force est de constater que cette loi qui n’a pas été retouchée par le législateur depuis 2008 mériterait d’être modifiée au gré des avancées technologiques. De la même manière la réglementation supranationale, à savoir l’acte additionnel de la CEDEAO et la Convention de Malabo, auraient besoin d’être actualisés.

Aujourd’hui, la rédaction des textes de lois dans nos pays requiert de l’anticipation mais aussi de l’innovation. Le régime de formalités préalables ainsi que la légalité de la finalité des traitements ne permettent plus à la LCPD de protéger la vie privée des sénégalais face aux nouveaux usages du numérique. Dans les autres pays francophones, bon nombre de lois ont été inspirées de celle de la France datant de 1978, laquelle a été modifiée voire amendée jusqu’après même l’entrée en application du RGPD.

Lire aussi: RGPD : Google et Facebook déjà visés par des plaintes à 8 milliards $

Outre atlantique, la Californie dans sa loi CCPA, applicable dès le 1er janvier 2020, s’est inspirée du RGPD. D’une part, elle prévoit le consentement requis lors de la vente des données de clients et, d’autre part, le renforcement des droits des consommateurs (portabilité, droit d’accès, droit d’effacement, droit Opt out en cas de vente de données) dans un contexte ou le Privacy Shield[5] est constamment remis en cause par la Commission européenne. Dans le même sillage que le RGPD, au Brésil, la Lei Geral de Proteçao Dados pessoais[6]applicable à partir du 15 août 2020,  de portée extraterritoriale, impose l’analyse d’impact pour certains traitements, la tenue de registre ainsi que la notification des violations de données à l’autorité de contrôle et aux personnes concernées.

Autant de points qui en font une sorte de mini-RGPD. Redonner le contrôle de leurs données aux individus en imposant une transparence générale sur les traitements et les violations de données est un défi majeur que beaucoup d’entreprises doivent relever. Les géants du web, à l’instar de Google, premier des GAFAM[7] sanctionné sous l’ère du RGPD en France[8], doivent changer leur méthode de collecte, d’utilisation et de partage des données de tous les citoyens, quelle que soit leur localisation. En définitive, il est pressant que l’Afrique se dote d’un Corpus de Règles Numériques plus contraignantes pour protéger ses citoyens et offrir un cadre vertueux pour l’exploitation de leurs données personnelles.

Pour se faire, d’ores et déjà, il faut que la CDP avec ses homologues africains accentuent leur coopération ; en édictant par exemple des normes communes à l’échelle africaine tout en veillant à y inclure dès la phase d’élaboration, les entreprises, les acteurs du marché numérique ainsi que les utilisateurs et praticiens de la matière. Dans une logique de co-régulation, les autorités de protection, doivent s’appuyer sur les relais informatique et libertés[9], les correspondants informatique et libertés, les délégués à la protection des données afin de diffuser la culture informatique et libertés au sein des entreprises.

L’enjeu pour les entreprises africaines est d’internaliser les règles de bonne gestion des données personnelles, afin d’être davantage performantes et compétitives sur le plan international. À cet effet, il est opportun d’implémenter la compliance[10] en tant que système de management au sein des entreprises devant s’intercaler entre l’obligation procédurale et le risque de sanction.

 

Une contribution signée par:

Maître Rokhaya SARR, Avocat à la Cour d’Appel de Paris, Auteure d’une thèse sur l’impact du RGPD sur la pratique des entreprises établies en France et au Sénégal

et

Monsieur Pape Fodé DRAME, Juriste et consultant en droit de la protection des données, Délégué à la Protection des Données (DPO)

 

 

[1] La Réglementation européenne sur la protection des données du 26 avril 2016 devenu  applicable depuis le 25 mai 2018.

[2] A.Banck et D. Rahmouni, Le RGPD nouvel outil de soft Law de l’Europe dans le numérique, Revue Lamyline Droit immatériel n°151 – 2018, paru Septembre 2018.

[3] C’est la possibilité de récupérer ses données personnelles dans un format lisible par machine, en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent.

[4] Elle pourrait se traduire comme le fait d’être responsable et de devoir démontrer à tout moment le respect des règles relatives à la protection des données.

[5] C’est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.  Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

[6] https://blogrisqueetsecurite.beijaflore.com/2019/10/11/emergence-data-privacy-usa-bresil/

[7] L’acronyme désigne les géants du numérique à savoir Google, Amazone, Facebook, Apple et Microsoft.

[8] Délibération de la CNIL française n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf

[9] Quel que soit le nom, cet acteur est la personne expressément désignée au niveau de l’entreprise en charge de la conformité de la loi sur la protection des données.

[10] Elle désigne généralement la conformité.