vendredi, novembre 22, 2024

L’Afrique face au RGPD, quelles incidences pour le Sénégal ?

2 commentaires

Le Règlement Général sur la Protection des Données (RGPD) n° 2016/679 relatif à la protection des données des personnes physiques à l’égard du traitement des données et à la circulation de ces données, s’appliquera à compter du 25 mai 2018. Ses dispositions ayant vocation à moderniser le cadre européen afin de prendre en compte les avancées technologiques (numériques) seront applicables dans l’ensemble des Etats membres afin de réduire les écarts juridiques entre les différentes législations.

 

Le RGPD, un changement de paradigme dans la mise en conformité

Tout en gardant les grands principes issus de sa directive de 1995 (la loi informatique Libertés), il insuffle un principe dit d « accountability[1] »lequel réduit drastiquement les formalités préalables au niveau de l’autorité de contrôle en les remplaçant par des obligations de conformité plus accrues. C’est ainsi, il sera à la charge du responsable de traitement ou du sous traitant de veiller à prendre en compte les préoccupations liées à la protection des données dés la conception du traitement ou du produit, de documenter ces derniers et à tenir un registre récapitulant toutes les données traitées[2].
Son application au-delà de l’Europe s’explique principalement comme un moyen de pression pour mieux cerner l’action des GAFAM, des sites d’e-commerce asiatiques et des prestataires de publicités ciblées jusque-là à l’abri de la régulation mais également d’encadrer la délocalisation des entreprises européennes traitant de données personnelles hors UE notamment en Afrique.

Un champ d’application étendu

Sont concernées :

  • Toutes les entreprises du monde, qui fournissent les biens et les services auprès des citoyens européens.
  • Et/ou collectent, hébergent, conservent et manipulent les données personnelles des citoyens européens

Soit le Responsable de traitement ou le Sous-traitant sont établis sur le territoire de l’UE, soit le Responsable du traitement ou le Sous-traitant fournissant des biens et/ou des services aux résidents européens ou essaient de cibler les résidents européens.

Ex : une startup sénégalaise qui commercialise des produits ou des services à destination de citoyens européens sans pour autant être présente sur le territoire de l’Union européenne sera assujettie au règlement et devra se conformer.

Donc le respect et la mise en application du RGPD concernent aussi bien les filiales que les sous-traitants qui proposent des biens/services et traitent de données de nationaux ou résidents de l’UE en B to B comme en B to C

Le Renforcement des droits des internautes : un nouveau standard européen consacré par le RGPD

Un des objectifs du législateur européen est d’obliger les entreprises à mieux communiquer sur la collecte et l’usage des données dès lors certains droits existants ont été consolidés, d’autres renforcés par de nouveaux mécanismes. De manière non exhaustive, on peut citer au bénéfice de ses droits :

  • Le droit à l’autodétermination informationnelle c’est-à-dire le droit pour toute personne de décider et de contrôler l’utilisation de ses données à caractère personnel, les modalités de l’exercice des droits de la personne concernée
  • La transparence des informations et communications et un consentement éclairé à chaque étape.
  • L’exercice d’un droit à l’effacement « droit à l’oubli ». La clause du RGPD relative au « droit à l’oubli » oblige les établissements à supprimer de leurs systèmes toutes les données d’un client si celui-ci le demande.
  • Le droit à la limitation (voire minimisation) du traitement en termes de données collectées et de l’utilisation ultérieure.
  • Le nouveau droit à la portabilité des données : Il sera plus facile pour les individus de transférer les données personnelles d’un prestataire de services, par exemple un réseau social, à un autre).
  • Des dispositions spécifiques applicables en présence de décision individuelle automatisée y compris le profilage.
  • La réparation des dommages matériels et moraux par un recours collectif des victimes dans le périmètre spécifique de la protection des données

L’impact géopolitique : Le transfert des données hors UE

Afin de faciliter la prise en compte de ces nouvelles règles concernant le transfert de données hors UE (Article 44): le Règlement prévoit la possibilité de se fonder sur un code de conduite (Binding Corporate Rules) par secteur d’activité contribuant à l’application du Règlement ou sur un label/certificat. Le Règlement affirme par ailleurs expressément, qu’un transfert hors UE ne peut être imposé par les lois et règlements d’un pays tiers à l’UE.

Aujourd’hui utilisées que par les Autorités de protection européennes pour des transferts de données vers des pays situés en dehors de l’UE ces outils demeurent incontournables pour réguler la gestion des données même au-delà de l’Europe.

Il existe des BCR « responsables de traitement » pour les transferts vers des entreprises qui agissent en qualité de responsables de traitement, et des BCR « sous-traitants » pour les transferts vers des sous-traitants hors UE.

Encadrement des flux de données, cas pratique sur le RGPD

En quoi les BCR permettent aux autorités de protection comme la CDP de tester le niveau de conformité à sa réglementation des données à caractère personnel ?

Si des BCR sont acceptées par les Autorités européennes par le biais de la reconnaissance mutuelle, l’entreprise (responsable de traitement ou sous-traitant) établie au Sénégal par exemple qui applique lesdits BCR peut saisir la CDP pour l’homologation de ces BCR au regard de la loi sénégalaise. Toutefois l’homologation des BCR n’exonère pas l’entreprise de ses obligations déclaratives, notamment si elle souhaite transférer des données vers un pays tiers.

Concrètement, les centres d’appel du Sénégal gérant la clientèle européenne en matière de gestion de la relation client (télécommunication e-commerce …) doivent appliquer ces BCR. Par ailleurs, ils ne sont pas exonérés de leurs obligations déclaratives au niveau de l’autorité de contrôle locale.
Ces mesures vont permettre de bien prendre en compte les obligations de sécurité et de confidentialité qui seront bien mis en exergue dans le contrat de sous-traitance. Mais, pour une meilleure prise en compte il faut que les employés de ces sous-traitants saisissent l’enjeu de cette protection ; dans ce cas de figure, une responsabilisation des agents au front office est vivement recommandée. Mieux, il faut répercuter l’obligation de sécurité et de confidentialité dans les contrats des agents.

Quel avenir pour les BCR francophones au regard du RGPD?

Les BCR francophones (zone Afrique) seront toujours applicables, mais il faudrait qu’il y ait des mises à jour par rapport au RGPD. Compte tenu que le règlement permet des transferts hors UE sous réserve, entre autres, du critère d’adéquation et de l’existence de clauses contractuelles types et de BCR, il faudrait que les exigences fixées, notamment la responsabilisation des sous-traitants, soient prises en compte.
Les Autorités africaines peuvent, à l’instar de ce qui se fait dans l’UE, avoir des accords de reconnaissance mutuelle avec les autorités chef de file européennes. De ce fait, les entreprises peuvent appliquées des BCR (article 40 RGPD) reconnues par les Autorités européennes et celles africaines.

En définitive, l’Europe au travers du RGPD envoie au monde ses valeurs en matière de protection de la vie privée afin de mieux protéger ses nationaux contre l’usage abusif du traitement des données. L’évolution de ce cadre européen de référence en la matière doit amener les acteurs du digital à faire preuve de responsabilité à l’égard des citoyens mais aussi doit amener les entreprises à mettre en avant leur conformité en tant qu’avantage concurrentiel et d’inventer de nouveaux modèles économiques dans leur stratégies de gestion des données personnelles.

En ce qui concerne les pays africains, le RGPD provoquera indubitablement pour eux une incitation à la mise en conformité plus accrue. Toutefois, ils doivent penser de manière proactive à comment diffuser voire apprivoiser la culture informatique et libertés. Ceci doit passer prioritairement par une simplification des formalités déclaratives et par plus d’accountability pour mieux protéger les droits et libertés fondamentaux afin de ne plus être à la traîne lors de prochains bouleversements de la gouvernance des données.
Rappelons que dans ce domaine comme dans tant d’autres, mieux vaut prévenir que guérir !

[1]L’accountability pourrait se traduire comme le fait d’être responsable et de devoir démontrer à tout moment le respect des règles relatives à la protection des données.
[2] Article 30, RGPD

Sources >>

Emmanuel DIOKH
Juriste IT, DPO
Assistant Pédagogique
&
Pape Fode DRAME
Juriste, Consultant en
Protection des données personnelles