Depuis l’entrée en vigueur de la loi ivoirienne sur la protection des données personnelles le 13 juin 2013, l’ensemble des organismes privés et publics sur toute l’étendue du territoire national, ont l’obligation d’appliquer les mesures prises afin de garantir la sécurité des informations qu’ils collectent et traitent. Le garant de la protection des données personnelles en Côte d’Ivoire est l’ARTCI, Autorité de protection. C’est elle qui veille à ce que les traitements des données personnelles soient mis en œuvre conformément aux dispositions (Article 46 de la loi 2013-450).
Ainsi, pour garantir effectivement cette protection, l’articles 47 de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel énonce que l’Autorité de protection doit s’assurer que l’usage des technologies de l’information et de la communication ne porte pas atteinte ou ne comporte pas de menace pour la liberté et la vie privée des utilisateurs situés sur l’ensemble du territoire national. En clair, il s’agit entre autres pour l’autorité de protection de :
- Déterminer les garanties indispensables et les mesures appropriés pour la protection des données ;
- D’élaborer des règles de conduite relatives au traitement et à la protection des données à caractère personnel
- De procéder par le biais d’agents assermentés, à des vérifications portant sur tout traitement de données à caractère personnel ;
- De prononcer des sanctions administratives et pécuniaires à l’égard des responsables de traitement qui ne se conforment pas aux dispositions relatives à la protection des données personnelles.
Dans cette dynamique, le Conseil de régulation de l’ARTCI émet plusieurs décisions pour réguler le secteur des données personnelles, dont la Décision de l’ARTCI N°2021-0676 en date du 04 août 2021 portant procédure de contrôle en matière de protection des données à caractère personnel.
Cette décision permet à l’Autorité de protection de procéder à des contrôles et vérifications sur le respect des obligations en matière de données à caractère personnel.
Généralités sur la décision de contrôle
- Les contrôles concernent les entreprises privées, les associations ou encore les organismes publics ayant un établissement en Côte d’Ivoire, ou traitant des informations personnelles d’individus résidant sur le territoire national.
- Les contrôles sont effectués par des agents assermentés de l’autorité de protection.
- Les organismes contrôlés détiennent le droit de se faire assister de témoins ou d’un conseil de son choix.
- Les contrôles peuvent se faire sous 5 formes prévues par la décision :
- Le contrôle sur place : les agents assermentés se rendent directement dans les locaux de l’entreprise contrôlée.
- Le contrôle sur audition : l’Autorité de protection adresse un courrier/convocation à l’organisme contrôlé, dans les locaux de l’Autorité.
- Le contrôle en ligne : L’autorité, depuis ses locaux, consulte les données rendues accessibles directement en ligne par l’organisme contrôlé.
- Le contrôle sur pièces : L’autorité adresse un courrier accompagné d’un questionnaire à l’organisme contrôlé, qui devra y répondre et y joindre si nécessaires des documents justificatifs utiles.
- Le contrôle inopiné : Il est mené de façon identique au contrôle sur place. La seule différence est que l’Autorité de protection n’informe pas l’organisme de sa venue.
- Un procès-verbal est établi sur la base des éléments recueillis lors du contrôle.
- A la suite d’un contrôle où ’il n’y a pas d’observations, la procédure de contrôle est clôturée et l’organisme en est informé.
Dans le cas où les investigations menées conduisent à des manquements peu significatifs, la procédure de contrôle est clôturée par un courrier de l’autorité, accompagné de mesures correctives dans un délai imparti.
Au cas où l’organisme contrôlé ne respecte pas les obligations découlant de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, l’Autorité de protection peut prononcer un avertissement ou une mise en demeure de faire cesser les manquements observés dans le délai qu’elle fixe.
Quelles sont les sanctions encourues par les organismes qui ne sont pas conformes à la réglementation en matière de protection des données personnelles ?
En application des dispositions de l’article 45 de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, est puni d’une peine d’emprisonnement d’un (01) mois à deux (02) ans et de 1.000.000 à 10.000.000 de francs CFA d’amende, quiconque entrave l’action de l’Autorité de protection.
Il peut donc s’agir de sanctions pénales envers le représentant de l’entreprise qu’il soit le responsable de traitement ou le sous-traitant.
Aussi, lorsque l’Autorité de protection constate que la mise en œuvre de traitement entraine une violation des droits et libertés des personnes, elle peut décider après une procédure contradictoire de :
- L’interruption de la mise en œuvre du traitement ;
- Verrouillage de certaines données à caractère personnel traités ;
- L’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
Dans certains cas, après avoir entendu le responsable de traitement ou le sous-traitant qui ne se conforme pas à la loi et à la mise en demeure qui lui est adressée, prononcé :
- Le retrait provisoire de l’autorisation accordée ;
- Le retrait définitif de l’autorisation ;
- Une sanction pécuniaire proportionnel à la gravité des manquements et ne pouvant excéder 10 millions de Frs CFA. En cas de manquement réitéré dans les 5ans suivant la précédente sanction pécuniaire devenue définitive, une sanction n’excédant pas 100 millions (personne physique) ou 5% du CA dans la limité de 500 millions de Frs CFA peut être prononcé.
Pire, des sanctions pénales peuvent également être appliquées.
Que faire pour s’engager dans la mise en conformité relative à la protection des données : élément primordial permettant aux entreprises d’éviter les sanctions de l’Autorité de protection ?
Au regard des éléments qui ont été développés tout au long de cet article, Groupe DPSE invite tous les organismes traitant les données personnelles conformément aux dispositions de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, à s’engager dans la dynamique de mise en conformité.
La mise en conformité est l’idéal auquel tout organisme devrait aspirer et devrait s’engager.
Elle est d’abord pour les organismes le respect et l’application des obligations légales liées à la protection des données. C’est-à-dire que les entreprises doivent justifier comment est-ce qu’elles traitent et peuvent protéger les informations, les données qu’elles manipulent au quotidien.
De plus, la mise en conformité est une valeur ajoutée car elle présente de nombreux avantages aux entreprises, notamment :
- De sensibiliser leurs personnels,
- De sécuriser les traitements de données,
- De maitriser leur image,
- D’éviter les contentieux,
- D’éviter les sanctions de l’Autorité de protection
En dehors des éléments cités plus hauts, la mise en conformité relative à la protection des données personnelles est une démarche qualité requise par la norme ISO 27701 qui est une norme internationale qui encourage les entreprises à prendre toutes les mesures nécessaires pour protéger les données.
Pour le respect de toutes ces mesures prises, Groupe DPSE invite tous les organismes publics et privés à se mettre en conformité.
Pour toute question relative au contrôle et à la démarche de mise en conformité, vous pouvez contacter Groupe DPSE cabinet spécialisé dans le management et la protection des données à caractère personnel