mercredi, juillet 6, 2022

«Il est fondamental que les États africains adoptent des règles de protection de données communes»

0 commentaire

Avocate à la Cour d’appel de Paris, inscrite au barreau de Seine Saint Denis en région parisienne, Rokhaya Sarr Barry est une passionnée de Tech. Cela peut paraître bizarre. Mais, pour cette avocate qui capitalise plus de 14 ans de barre, cela relève de l’ordinaire. Car, très tôt, elle s’est intéressée à la protection des données à caractère personnel et à son acception sur le continent africain. Dans ce contexte, d’ailleurs, sous la direction du professeur Abdoulaye Sakho, elle a soutenu une thèse de doctorat ayant pour thème « L’impact du Règlement général sur la protection des données (RGPD) sur la pratique des entreprises françaises et sénégalaises. » Dans un élan de vulgarisation de la matière et des bonnes pratiques sur le continent, elle a coécrit un ouvrage se voulant pédagogique et accessible y compris aux non spécialistes intitulé « L’impact du règlement sur la protection des données RGPD en Afrique » publié en juillet 2021 aux éditions l’Harmattan, fruit d’une collaboration avec Pape Fodé Dramé, juriste ayant exercé plusieurs années à la Commission Informatique et liberté en France. Dans cet entretien qu’elle nous accorde, Rokhaya Sarr Barry plaide pour que les Etats africains adoptent des règles de protection communes afin d’anticiper les mutations en cours sur le continent. 

 Qu’est-ce qui a présidé à la mise en place du cabinet Legaltech.sn ? 

Le cabinet a été mis en place par Emmanuel Diokh, juriste DPO et membre de la société civile du numérique, Pape Fodé Dramé et moi-même. Legaltech.sn est un cabinet conseil qui accompagne les organisations vers la conformité aux réglementations relatives à la protection des données personnelles. Elle met à la disposition des professionnels des solutions de la compliance telles que le pilotage DPO (Data Protection Officer), la sensibilisation, la formation des professionnels.

Legaltech.sn propose à ses clients, la mise en place d’un registre automatisé des traitements de données ainsi que la mise en œuvre le cas échéant d’analyses d’impact en mode Saas, un suivi régulier et actualisé de la bonne conformité des traitements de données sous forme de packages de conformité. Nos clients seront alors assistés par des formalités préalables à réaliser auprès de la Commission des données personnelles (CDP) et postérieurement à l’obtention d’autorisation de réaliser les traitements et durant toute la durée de leurs activités. Un suivi régulier sera réalisé par Legaltech.sn grâce à des audits réguliers, de manière à être en mesure de pouvoir démontrer aisément et de manière documentée la bonne conformité de leurs traitements en cas de contrôle du régulateur. La conformité étant notre cœur de métier, il est évident que Legaltech.sn va assurer tant la sécurisation que la confidentialité des données qu’elle traite.

Legaltech.sn est une startup qui utilise les nouvelles technologies au service du droit. En cela, elle est un vecteur de la compliance numérique permettant la transformation digitale du droit

Elle propose ainsi aux entreprises et aux particuliers des offres et des services numériques avec une utilisation accrue des technologies digitales d’automatisation et de dématérialisation. La structure ambitionne également de faciliter la mise en relation des professionnels du droit que sont les avocats, notaires, huissiers avec les justiciables. Elle met également des outils technologiques et informatiques à disposition des professionnels du droit et de leurs clients qui vont permettre de faciliter et accélérer la mise en place d’actes juridiques allant de l’acte de vente sous seing privé ou notarié aux constats d’huissier par exemple. Ce qui permettra à toutes les parties de réaliser des gains de temps et d’argent. Enfin, notre startup se veut être également un partenaire des autorités publiques qui, au travers de son expertise, pourra les accompagner vers une numérisation généralisée de la justice. L’objectif étant de parvenir à la mise en place de procédures et des actes de plus en plus dématérialisés permettant aux justiciables comme aux professionnels du droit de saisir les tribunaux et suivre leurs procédures par voie dématérialisée et de manière sécurisée. Cela aura pour avantage d’accélérer les procédures judiciaires, d’obtenir des décisions de justice dans un délai raisonnable et de désengorger les tribunaux.

Qu’est ce qui reste à faire selon vous, pour que le Sénégal soit un pays exemplaire dans la compliance des données personnelles ?

S’il est vrai que le Sénégal fait partie des pionniers en Afrique dans la mesure où, depuis 2008, il dispose d’une loi et d’une autorité de protection, il apparaît néanmoins que cette législation a besoin d’être toilettée de manière à davantage prendre en compte l’avancée des nouvelles technologies, des objets connectés issus de l’intelligence artificielle avec ce qu’elle implique en termes de traitement de données à grande échelle. Le système actuel du contrôle a priori, incluant des formalités préalables, mériterait que l’on y inclue davantage d’accountability ou de compliance entendue selon la définition posée par l’association « le cercle de la compliance » comme : l’ensemble des processus destinés à assurer qu’une entreprise, ses dirigeants et ses salariés respectent les normes juridiques et éthiques qui leur sont applicables. Le Règlement Général sur la Protection des Données (RGPD), standard européen le plus élevé en matière de protection des données, consacre l’introduction de la compliance dans la protection des données.

Par exemple, le RGPD impose au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés. Pour ce faire, il doit mettre en œuvre des mesures techniques et organisationnelles appropriées, en application du principe de l’accountability. Les responsables de traitements sont davantage responsabilisés et assurent la conformité sur la durée. Au niveau continental, il est opportun que la convention de Malabo de l’Union Africaine qui date de 2013 soit actualisée et réformée dans cette même logique afin de créer une zone forte et homogène de conformité.

A l’heure où la Chine qui vient de voter son RGPD chinois, la Californie, le Brésil se dotent tous d’une législation en la matière inspirée du RGPD, il me paraît indispensable que les États africains se dotent d’une législation harmonisée protectrice et homogène afin de créer une zone solide de protection. Étant observé que, de par son poids démographique, l’Afrique représente, au travers des données personnelles de ses ressortissants, une part non négligeable des données personnelles à l’échelle mondiale. Il semble donc indispensable d’insuffler à nos futurs textes davantage d’accountability ou de compliance en sus des régimes déclaratifs existants.

La conformité doit se faire sur la durée et non seulement avant de réaliser les formalités déclaratives

Il est également nécessaire de prévoir des sanctions financières dissuasives afin de s’assurer du respect des règles en la matière. D’autre part, il serait souhaitable de permettre à la CDP de collaborer davantage avec le secteur privé dans ses efforts de sensibilisation à la protection des données à caractère personnel. 

 La CDP devrait se voir attribuer de nouvelles prérogatives comme celle de pouvoir certifier des structures œuvrant dans le domaine de la conformité afin de pouvoir multiplier la mise en place des formations et certifications. 

Enfin, si elle souhaite rendre cette réglementation efficace et effective, la CDP devrait pouvoir multiplier ses contrôles et prononcer des sanctions dissuasives en cas de manquements.

Sachant que ce processus (compliance) est lourd pour les entreprises sénégalaises par exemple, est-il possible de mettre en place un label de certification qui consisterait à accompagner les TPE, PME et PMI au respect des lois et exigences normatives ?

Effectivement, il est évident que la CDP à ce jour dispose de peu de moyens, notamment en termes de ressources humaines. L’idéal serait qu’elle puisse faire appel à des prestataires privés labellisés pouvant accompagner les TPE, PME et PMI vers la conformité. Cet accompagnement pourrait se faire sous la forme d’un partenariat public privé. Le professeur Alex Corenthin a eu à juste titre l’occasion de suggérer cette idée de partenariat public-privé lors d’un atelier de réflexion intitulé « Protection des données personnelles entre régulation et compliance » organisé le 14 septembre dernier par Legaltech.sn en partenariat avec l’institut EDGE. `

Au Sénégal, cela est d’autant plus intéressant qu’on vient d’adopter le décret d’application relative à la « startup Act », loi visant à encourager la création et la promotion des startups. En sus des startups qui pourraient se positionner sur le créneau de la conformité, cette loi devrait faciliter la mise en place de nouvelles structures et nous devrions assister au fleurissement d’un bon nombre de startups sénégalaises. Ces dernières devront intégrer dans leur fonctionnement de la compliance, c’est-à-dire internaliser le respect des normes et bonnes pratiques issues de la conformité. Je considère que la mise en place d’un partenariat public-privé dans ce secteur serait une réelle opportunité dans le contexte actuel et permettra ainsi au Sénégal de rapidement se positionner en modèle en termes de conformité et accroître ainsi la compétitivité de son secteur privé.

 En résumé, aucun pays africain ne respecte aujourd’hui les règles imposées par le RGPD ? Quels sont les blocages et quelles solutions les pays africains doivent-ils adopter ?

Il faut dans un premier temps comprendre que le RGPD est un texte européen qui s’applique territorialement aux entreprises situées en Europe et aux entreprises hors UE dès lors qu’elles traitent des données personnelles de résidents européens. En somme, les entreprises africaines ne sont en principe tenues de respecter le RGPD que lorsque qu’elles traitent à titre principal ou dans le cadre de sous-traitance ou encore à l’occasion de transferts de données personnelles de résidents européens. Cela dit, le respect des obligations et bonnes pratiques issues de ce RGPD en Afrique est une bonne chose dans la mesure où c’est un texte de protection de niveau très élevé et la plupart des pays du monde s’en inspirent.

Le fait de s’y conformer revient à anticiper les mutations en cours dans nos États africains. En outre, certains pays africains qui ont adopté une loi en la matière postérieurement au vote du RGPD reprennent de nombreuses dispositions de celui-ci à l’instar du Bénin (2017) ou la République du Congo (2019). Je préconise donc l’adoption d’un texte harmonisé à l’échelle du continent ou de la sous-région applicable au plus grand nombre. Il pourrait également être envisagé de l’inclure dans les textes de l’OHADA.

D’autant que l’acte uniforme du 15 décembre 2010 intègre des services électroniques que sont l’écrit électronique, la signature électronique, l’échange de données informatisées, par exemple, autant de services numériques qui engendrent des traitements de données personnelles. De sorte qu’il pourrait parfaitement être envisagé d’intégrer dans le corpus juridique de l’OHADA des règles relatives à la protection des données personnelles contraignantes et directement applicables au sein des États membres.

Pour conclure, Il est fondamental que les États africains adoptent des règles de protection communes directement applicables, conformes aux standards internationaux et s’assurent de l’effectivité du respect de ces règles non seulement pour être compétitifs mais aussi afin de permettre aux citoyens africains de s’assurer qu’ils conservent bien le contrôle de leurs données personnelles, de l’usage qui en sera fait.