Le 25 mai 2018 constitue une date historique dans la législation européenne car marquant l’entrée en vigueur du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit Règlement général sur les données personnelles (RGPD).
L’entrée en vigueur de ce dernier était tant attendue au regard des innovations qu’il avait apporté et qui permettaient d’assurer une meilleure protection des droits et libertés des personnes objets de traitement.
En effet, le règlement est venu avec de nouvelles obligations pour les responsables de traitement, l’apparition de nouvelles exigences renforçant les droits et la vie privée des personnes, la mise en avant du principe d’ « Accountability »,… mais surtout avec un périmètre d’application très large.
L’étendue de son champ d’application constitue une des particularités de ce règlement lui accordant même, dans une certaine mesure, un caractère international. C’est dans cette optique qu’on est amené à étudier l’applicabilité du RGPD aux traitements de données effectués au Sénégal. Dans la même logique, nous tenterons de voir si les sénégalais, objets de traitement, pourront bénéficier de la protection consacrée par ledit règlement tout en mettant en exergue les problématiques que pourrait poser son application extraterritoriale.
Mais pour mieux aborder ces points, intéressons-nous d’abord au champ d’application dudit règlement.
Sur le champ d’application du RGPD…
Le champ d’application territorial du RGPD est déterminé par son article 3. Celui-ci subordonne l’application du RGPD sur la base de deux critères principaux.
Le premier est celui du critère d’établissement. Selon l’article 3, paragraphe 1, du RGPD, le « règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ».
En application de ce critère, le RGPD serait applicable à tout traitement mis en œuvre par un organisme ou un sous-traitant ayant un établissement au sein de l’Union Européenne. Cet établissement peut s’agir d’une filiale, succursale, bureau, etc.
Précisons que ce traitement doit entrer « dans le cadre des activités » de l’établissement et que le lieu du traitement n’est pas un facteur pertinent pour déterminer si le traitement, effectué dans le cadre des activités d’un établissement sur le territoire de l’Union, relève ou non du champ d’application du RGPD.
Lire aussi l’article : L’Afrique face au RGPD, quelles incidences pour le Sénégal ?
Le second critère est celui du ciblage. L’absence d’établissement sur le territoire de l’Union ne signifie pas nécessairement que les activités de traitement effectuées par un responsable du traitement ou un sous-traitant établi dans un pays tiers seront exclues du champ d’application du RGPD. L’article 3, paragraphe 2 de ce dernier élargi le champ d’application à tous traitements effectués par un RT établi hors de l’UE mais concernant des personnes se situant sur le territoire de l’UE. Ces traitements doivent être liés à l’offre de biens ou de services qu’un paiement soit exigé ou non ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Ainsi, lorsque l’un de ces deux critères est rempli, les dispositions pertinentes du RGPD s’appliquent au traitement pertinent de données à caractère personnel par le responsable du traitement ou le sous-traitant concerné.
Sur la soumission des traitements effectués au Sénégal au RGPD…
En considération de l’étude faite sur le champ d’application du RGPD, il s’avère que certains traitements de données mis en œuvre au Sénégal pourraient être soumis au règlement.
En effet, en se référant aux deux critères prévus par celui-ci, on peut en déduire que tout traitement mis en œuvre au Sénégal par un RT établi au niveau de l’Union est sans nulle doute soumis au RGPD même si les données sont collectées au Sénégal et concernant des sénégalais.
En guise d’exemple : Sera soumis au RGPD, le traitement mis en œuvre par une société française à travers une application de covoiturage destinée exclusivement à des clients au Sénégal même si le service n’est disponible qu’au Sénégal.
Il en va de même pour les traitements de données effectués par un organisme sénégalais mais que les personnes concernées sont établies au niveau de l’Union. Pour illustrer, le traitement mis un œuvre par une entreprise sénégalaise qui offre des biens ou des services à travers son site de e-commerce, sera soumis au RGPD si ce traitement vise des personnes se situant en Belgique.
Sur la protection des sénégalais objets de traitement par le RGPD…
Une analyse approfondie du critère de ciblage, révèle que les sénégalais peuvent bel et bien bénéficier de la protection consacrée par les dispositions du RGPD. Le libellé de l’article 3, paragraphe 2, fait mention des «données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union». Par conséquent, selon le Comité Européen de la Protection des Données, l’application du critère de ciblage n’est pas limitée par la citoyenneté, le lieu de résidence ou tout autre type de statut juridique de la personne concernée dont les données à caractère personnel sont traitées[1].
Une analyse conforme au considérant 14 qui précise que « la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel ».
Ainsi, toute personne de nationalité sénégalaise dont ses données font l’objet de traitement, bénéficie de la protection prévue par le RGPD si celle-ci se trouve au sein de l’Union au moment du déclenchement des activités de traitement.
Problématiques liées à l’application du RGPD au Sénégal
L’extraterritorialité du RGPD présente certes des avantages mais ne manque pas à soulever certains problèmes. En effet, l’application du règlement entraînerait un conflit de règles, de compétence et remettrait même en cause son efficacité. Si le RGPD s’appliquerait au Sénégal sous certaines conditions alors que la loi sénégalaise sur la protection des données personnelles a vocation aussi à s’appliquer sur tous les traitements mis en œuvre sur le territoire sénégalais conformément à son article 2-3, il se poserait alors un vrai conflit de règle applicable. Ce dernier ne sera aussi sans conséquence sur la compétence des autorités de protection des pays respectifs.
Un ensemble de problématiques qui pourrait réduire à néant l’efficacité dont prônait le règlement. Certes les dispositions du RGPD ont été rédigées de sorte à promouvoir une protection maximale des droits et libertés des personnes dont leurs données font l’objet de traitement, néanmoins leur application extraterritoriale constituerait un véritable casse-tête en vertu de la souveraineté des États.
Pour pallier cela, il serait judicieux pour le législateur sénégalais de procéder à une révision de la loi sur les données personnelles afin de l’actualiser et d’y inclure un régime de protection analogue à celui prévu par le RGPD pour permettre aux personnes de bénéficier d’une protection efficace de leurs données qu’elles soient traitées au Sénégal ou dans un territoire de l’U.E.
Mouhamed Bocoum
Cyberjuriste
bocoummouhamed96@gmail.com