Protection des données à caractère personnel. Léon Brande est expert en Management et Protection des Données à caractère personnel. il est également le directeur du Groupe Data Privacy Solution Expert.
Il s’agit d’un Cabinet Conseil Ivoirien spécialisé dans l’accompagnement de mise en conformité à la loi relative à la protection des données à caractère personnel et au Règlement Général sur la Protection des Données (RGPD). Interrogé par le média citoyen, il dresse le point sur la réalité ivoirienne.
Quel est l’état des lieux de la protection des données à caractère personnel en Côte-d’Ivoire ?
Déjà il y a une loi qui existe qui date de 2013. C’est la loi numéro 2013-450 du 19 juin 2013. C’est la loi relative à la protection des données à caractère personnel. Il y a une autorité de régulation, il y a une avancée. C’est à encourager. Quant à l’applicabilité de la loi elle reste encore méconnue. Il y a encore beaucoup à faire. Il y a des sensibilisations. Le sujet on en parle depuis des années. L’actualité du moment qui a créé une émulation auprès de la société, du citoyen de se préoccuper de comment sont gérées ses données, démontre qu’il y a beaucoup à faire en matière de protection de la vie privée des personnes concernées. Dans cet environnement dont les acteurs sont les entreprises, les prestataires où les cabinets de prestation de service comme nous.
L’état des lieux reste assez mitigé, mais évolutif. Il y a 2 ans où il y a 3 ou 4 ans on aurait pas eu la même émulation qu’aujourd’hui face à la situation. Cela signifie qu’il y a une prise de conscience réelle de cette problématique dans les entreprises.
Pouvez-vous rappeler les aspects principaux de cette loi ?
Les aspects principaux de cette loi se résument aux principes de la loi. Ces principes de la loi constituent les obligations légales que les entreprises doivent respecter pour justifier de leur conformité à la réglementation, pour garantir et créer un climat de confiance. Ces principes de la loi sont d’abord la finalité, la finalité ça signifie déterminer l’objectif ou le but pour lequel on veut collecter une donnée à caractère personnel qu’est-ce qu’on veut en faire ?
Ensuite, il y a la légitimité du traitement ; la légitimité c’est de recueillir le consentement de la personne concernée.
Il y a également le principe de proportionnalité et de pertinence. Vous collectez une information pour un objectif bien déterminé, est-ce que les informations que vous voulez collecter sont conformes par rapport à la finalité. La Collecte de ces données va nécessiter la pertinence et la proportionnalité par rapport à la finalité.
Ensuite, il va falloir répondre à la durée limitée de conservation de ces données. Aujourd’hui avec cette nouvelle disposition de la loi, la durée de vie d’une information doit être limitée dans le temps. C’est la mauvaise gestion de cette durée limitée dans le temps qui nous permet de retrouver ces informations sur la place publique. Ce qui signifie qu’en vertu du principe de la durée limitée dans le temps, l’on va basculer sur un nouveau métier qui est l’archivage des données. Et la mauvaise gestion de cette partie à savoir l’archivage va nous permettre de retrouver ces données sur la place publique.
Il y a aussi le principe de transparence qui est un point fondamental de la loi. Je collecte des informations à des fins précises, je vous explique de façon transparente, de façon licite, de façon éclairée ce pourquoi je collecte vos informations.
En plus de cela, il y a le principe de sécurité et le principe de sécurité est le point focal de tout ce qui prend en compte la protection des données à caractère personnel. Mais la sécurité à quel niveau ? La sécurité au niveau de la confidentialité. Quand on parle de protection des données à caractère personnel on parle de confidentialité. Le respect de la sécurité reste le respect de la sécurité classique, lié aux principes de base de la sécurité dans le domaine de votre activité. Cependant la prise en compte de la confidentialité vient en plus de la mise en œuvre de tout dispositif de sécurité et c’est là l’essence de la protection des données à caractère personnel.
Et pour terminer, le principe du respect du droit de la personne de lui donner le contrôle de ses informations et de permettre à ces personnes d’avoir accès à leurs informations à tout moment quand elles en ont besoin. Les principes de la loi résument les principaux aspects de cette loi.
Quels sont les aspects de cette loi qui vous paraissent importants ?
Il n’y a pas pour moi ce qui est essentiel ou pas. La protection des données à caractère personnel est une démarche qualité et toute démarche qualité demande respect des obligations, respect des principes, respect des procédures mises en place de tout un système. Ce qui va permettre de pouvoir réorganiser son entreprise.
La réorganisation de l’entreprise est donc essentielle dans cette démarche. Vous mettez en place une politique de protection des données à caractère personnel sur le plan juridique, sur le plan technique, sur le plan organisationnel. Vu qu’il s’agit d’une loi on vous dira de respecter les principes. Cependant, la mise en œuvre requiert la présence de cabinet tel le nôtre, pour aider les entreprises à récupérer leurs principes juridiques. Également, pour les appliquer dans leur corps de métier, afin de réorganiser leur entreprise pour pouvoir suivre le chemin tracé par ces démarches qualité.
Comment votre cabinet DPSE accompagne-t-il les entreprises ?
Le DPSE aide les entreprises à respecter les obligations qui vont leur permettre de protéger les données de leurs clients. Nous ne sommes pas une entreprise de sécurisation, nous sommes une entreprise de management et de gestion de la sécurisation du patrimoine informationnel. Le patrimoine informationnel prend en compte la gestion de toute donnée conservées dans l’entreprise.
Nous avons donc pour mission d’accompagner les entreprises, de sensibiliser les entreprises, de les former à la culture de la protection des données à caractère personnel. De leur permettre de comprendre et de suivre la démarche qualité. À travers les principes de la loi qui constituent les obligations légales de l’entreprise, également leur permettre d’atteindre un niveau de conformité. Ce qui leur permettra de pouvoir garantir la sécurisation confidentielle des informations qu’elles traitent au quotidien.
En tant que cabinet de management et de gestion de la sécurisation des données quel est votre plaidoyer sur la protection des données à caractère personnel ?
Notre plaidoyer à nous en tant que cabinet, est qu’il y ai une vulgarisation d’abord de la loi, une bonne compréhension de cette loi par les acteurs dans l’écosystème dans lequel nous évoluons. Que les entreprises s’approprient cette loi non pas pour répondre à des dispositions de sanction de l’autorité mais qu’elles considèrent cette loi comme étant une valeur ajoutée pour elles dans leur process. C’est important de passer ce message aux entreprises.
La mise en œuvre de la protection des données à caractère personnel , dans leur activité constitue pour elles un gage de confiance entre elles et leurs clients mais aussi entre elles et leurs employés. La protection des données à caractère personnel est à deux niveaux ; au niveau interne et au niveau externe. Ce gage de confiance constitue pour elles un véritable avantage concurrentiel.
L’éthique la morale l’intégrité tout cela se résume dans la protection des données à caractère personnel, et la protection de la vie privée des personnes. Le fait d’implémenter ce process dans vos activités, vous donne un avantage concurrentiel par rapport aux autres qui ne l’ont pas fait.
Aujourd’hui un exemple palpable c’est l’histoire de WhatsApp qui a décidé de changer ses conditions de confidentialité en imposant aux utilisateurs cette politique. On ne donne pas la possibilité aux utilisateurs de choisir ou de ne pas choisir. Le principe numéro 2 de légitimité n’est pas respecté. Qu’est-ce qui s’est passé ? Tout le monde a basculé sur Signal. Ainsi vous pouvez perdre du business, vous pouvez vous voir refuser la signature ou le renouvellement d’un contrat parce que vous ne prenez pas en compte ces dispositions.
Toute entreprise ou PME qui se présente à un appel d’offre et qui dans son dossier précise qu’elle en prend en compte les dispositions sur la protection de la vie privée se donne plus de chances. Si elle garantit que dans le cas de la prestation qu’elle offre, les échanges des informations qu’elle va avoir vont respecter le cadre légal de la protection des données à caractère personnel, les entreprises vont préférer signer avec cette entreprise plutôt qu’une autre parce que déjà, il y a un gage de confiance qui est établit.
Quels exemples concrets de violation de la protection des données à caractère personnel ?
L’exemple concret a eu lieu en 2017 en Côte-d’Ivoire et concerne l’affaire agro-business. Afin de répondre à la plainte des personnes qui ont souscrit à ce produit agrobusiness parce que le projet a capoté, la liste des souscripteurs a été publié dans les journaux, sur internet avec toutes leur données d’identification (nom, prénom, date et lieu de naissance, montant souscrit). Il n’était pas nécessaire de publier toute l’identité du souscripteur pour qu’il puisse recevoir son perdiem. Il fallait plutôt utiliser leur numéro de souscription.
La protection de la gestion confidentielle des informations de la protection de la confidentialité des informations. La protection de la vie privée ou la gestion confidentielle des informations des souscripteurs aurait voulu qu’on ne publie que le numéro de souscription. En ce moment on aurait respecté le principe de confidentialité et de sécurisation de la personne concernée. Cela a porté atteinte à la vie privée de ces personnes. Certains a été renvoyés de leur entreprise, les cas sont légions. Les personnes habilitées à manipuler des informations doivent avoir connaissance du principe de confidentialité de la protection des données de ces personnes.
Quelle voie de recours pour la personne dont les données à caractère personnel sont exposées comme dans le cas que vous venez de citer?
En l’espèce, c’est un cas compliqué car la violation vient de l’État. Cela ne signifie pas que l’État peut faire ce qu’il veut non. L’État doit garantir également la protection de la vie privée du citoyen. Les établissements publics tout comme les établissements privés sont concernés par la protection des données à caractère personnel. La plainte portée va être un peu compliqué parce que on va dire que l’État est souverain.
On ne poursuivra pas l’état cependant on va demander à l’état de faire dorénavant attention. Il y a eu des plaintes concernant cette affaire mais elles n’ont pas abouti. Dans d’autres législations l’état aurait pu être poursuivi et les individus auraient pu obtenir réparation. Nous ne sommes pas encore dans nos états à ce stade de justice. Ici il y a une véritable sensibilisation et une véritable amenée de compréhension à ceux qui doivent manipuler les informations confidentielles.
Pour une entreprise ou on se retrouverait dans ce cas, dans un premier temps, la personne va adresser à l’entreprise, un droit d’accès à ses informations. Le droit d’accès est d’interroger l’entreprise pour savoir comment elle traite les informations en son sein. Je suis dans votre base de données, j’ai été enregistré à telle date, pour telle action, je voudrais savoir comment sont traitées mes données. Cela répond à un principe de la loi qui est de donner au citoyen le contrôle de ses données. Cela répond à un principe de la loi qui est de donner au citoyen le contrôle de ses données.
Et c’est une obligation pour l’entreprise de répondre à un droit d’accès de la personne concernée. Au bout d’un mois à l’issue de la demande du droit d’accès à ses informations, si l’entreprise ne répond pas, cela peut signifier qu’elle ne sait pas la gestion des données personnelles. Elle n’est pas dans la démarche de conformité. Il faut porter plainte auprès de l’autorité compétente contre cette entité qui a exposé mes informations.
Ainsi lorsque le citoyen lambda constate une violation de ces données à caractère personnel, la démarche à effectuer après avoir préalablement adressé à l’entreprise un droit d’accès à ses informations, c’est de saisir l’autorité de protection en l’espèce l’agence de régulation des technologies de la communication et de l’information (ARTCI) qui est l’autorité compétente.
Délorès Pie
Lemediacitoyen.com
Soyez le premier à commenter