Brève analyse de la loi togolaise relative à la protection des données à caractère personnel, Hal open science, 4 février 2020

Brève analyse de la loi togolaise relative à la protection des données à caractère personnel, Hal open science, 4 février 2020

Auteur : Dessa-nin Ewèdew Awesso

Organisation affiliée : Hal open science

Type de publication : Article

Date de publication : 4 février 2020

Lien vers le document original

 

*Les Wathinotes sont des extraits de publications choisies par WATHI et conformes aux documents originaux. Les rapports utilisés pour l’élaboration des Wathinotes sont sélectionnés par WATHI compte tenu de leur pertinence par rapport au contexte du pays. Toutes les Wathinotes renvoient aux publications originales et intégrales qui ne sont pas hébergées par le site de WATHI, et sont destinées à promouvoir la lecture de ces documents, fruit du travail de recherche d’universitaires et d’experts.

 

Après l’adoption de la loi relative à la cybersécurité et la lutte contre la cybercriminalité, le Togo fait un pas de plus dans la gestion des risques et menaces liés aux activités numériques. En effet, c’est par la loi du 29 octobre 2019 relative à la protection des données à caractère personnel2 (LPDCP) que le Togo compte réglementer la collecte, le traitement, la transmission, le stockage, l’usage et la protection des données à caractère personnel.

Le texte adopté a pour objectif de garantir que tout traitement de données à caractère personnel, sous quelque forme que ce soit, ne porte atteinte aux libertés et aux droits fondamentaux des personnes physiques.

L’Acte additionnel de la CEDEAO dispose en son article 2 que « chaque État membre met en place un cadre légal de protection de la vie privée et professionnelle consécutive à la collecte, au traitement, à la transmission, au stockage et à l’usage des données à caractère personnel sous réserve de la protection de l’ordre public ».

Quant à la Convention de l’Union africaine, elle dispose en son article 8.1 que « chaque État partie s’engage à mettre en place un cadre juridique ayant pour objet de renforcer les droits fondamentaux et les libertés publiques, notamment la protection des données physiques et de réprimer toute infraction relative à toute atteinte à la vie privée sans préjudice du principe de la liberté de circulation des données à caractère personnel ».

Le texte adopté a pour objectif de garantir que tout traitement de données à caractère personnel, sous quelque forme que ce soit, ne porte atteinte aux libertés et aux droits fondamentaux des personnes physiques

L’entrée en vigueur de cette loi, qui vise à garantir une meilleure protection des données personnelles, aura un impact non négligeable dans l’environnement numérique togolais qui ne semble pas encore y être préparé même si le vent d’une telle réforme soufflait depuis 2010 avec l’Acte additionnel de la CEDEAO.

Le cadre juridique

L’analyse du cadre juridique de la LPDCP conduit à étudier à son champ d’application (A) et les prescriptions que cette loi met à la charge des personnes procédant au traitement des données à caractère personnel (B).

Le champ d’application ratione materiae

Aux termes de son article 4, la LPDCP définit les données à caractère personnel comme étant « toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

S’agissant du traitement des données à caractère personnel qui est au cœur de la loi, il s’agit de toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données personnelles.

Le champ d’application ratione loci

L’objectif étant celui d’appliquer la loi dès lors que les personnes concernées se trouvent au Togo, même lorsque le responsable du traitement n’est pas établi au Togo voire dans la CEDEAO, et que le traitement est lié à l’offre de biens ou de services – gratuits ou onéreux – à ces personnes ou au suivi de leur comportement. Il s’agit du critère de ciblage des personnes concernées. Ce dernier n’était pas non plus prévu par l’Acte additionnel de la CEDEAO.

En ce qui concerne le transfert des données à caractère personnel vers un pays tiers, celui-ci n’est autorisé que sous réserve de réciprocité et si cet État assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes concernées par le traitement.

Selon LPDCP, avant tout transfert des données à caractère personnel du Togo vers un pays tiers, le responsable du traitement doit préalablement informer l’Autorité de protection des données à caractère personnel

Le champ d’application ratione personae

Aux termes de l’article 2.1 de la LPDCP, la loi s’applique, entre autres, à toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’État, les collectivités locales, les personnes morales de droit public ou de droit privé. Ces derniers sont désignés comme étant les responsables de traitement. La loi ne fait donc pas de distinction entre le fait qu’il s’agisse de personnes physiques ou morales, privées ou publiques.

Les prescriptions légales

Les responsables de traitement – et leurs sous-traitants – sont, à certaines conditions, soumis à l’accomplissement de certaines formalités préalables (1). Outre ces formalités, des règles encadrant l’activité proprement dite doivent également être respectées (2).

Les formalités préalables au traitement

L’exécution de certaines formalités est nécessaire avant de procéder au traitement des données à caractère personnel. Néanmoins, certains traitements sont dispensés des formalités préalables.

Il s’agit notamment : des traitements visant la tenue d’un registre destiné à l’information du public et ouvert à la consultation ; des traitements pour lesquels le responsable du traitement a désigné un correspondant à la protection des données à caractère personnel sauf lorsqu’un transfert de données à caractère personnel à destination d’un pays tiers est envisagé.

Les données relatives aux infractions ne peuvent être traitées que par : les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ; les auxiliaires de justice pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi

Dans ce dernier cas, le responsable du traitement doit en informer l’IPDCP qui donne un avis motivé. Les autres traitements sont soit soumis au régime de la déclaration, soit au régime de l’autorisation, soit au régime de la demande d’avis.

L’encadrement du traitement proprement dit

L’encadrement des traitements des données à caractère personnel varie selon la catégorie à laquelle elles appartiennent. Ainsi, le traitement des données sensibles est par principe interdit. Sont ainsi concernées, « toutes les données à caractère personnel relatives à l’origine raciale ou éthique, aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives ».

Les données relatives aux infractions ne peuvent être traitées que par : les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ; les auxiliaires de justice pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi.

La LPDCP reconnaît également des droits aux personnes concernées par le traitement. Il s’agit : du droit à l’information ; du droit d’accès du droit d’opposition ; du droit de rectification et de suppression ; du droit à l’effacement ; de la sauvegarde des données à caractère personnel après la mort. En outre, pour assurer le respect des droits des personnes concernées, le législateur fait peser sur le responsable du traitement : l’obligation de confidentialité ; l’obligation de sécurité ; l’obligation de conservation ; l’obligation de pérennité.

La garantie du respect du cadre juridique

C’est par le biais d’un contrôle et d’une surveillance renforcée (A) et l’édiction de sanctions à vocation dissuasive et punitive (B) que le législateur espère assurer le respect de la loi relative à la protection des données à caractère personnel.

Le contrôle externe

Pour assurer son pouvoir de contrôle sur les activités de traitement des données à caractère personnel, les pouvoirs publics ont prévu, conformément à l’Acte additionnel de la CEDEAO, et à la Convention de l’Union africaine, la création de l’Instance de Protection des Données à Caractère Personnel (IPDCP).

Cette institution est une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi. Elle a également pour mission d’informer aussi bien les responsables de traitement que les personnes concernées de leurs droits et obligations.

Le contrôle interne

Avec l’adoption de la LPDCP, le contrôle en matière de protection des données à caractère personnel est aussi interne aux structures responsables des traitements. Ce rôle sera assuré par un « correspondant à la protection des données à caractère personnel ». Il s’agit d’une innovation du législateur togolais, par rapport au législateur communautaire qui n’avait prévu qu’un contrôle externe – effectué par l’Autorité de protection – dans l’Acte additionnel de 2010.

La Convention de l’Union africaine de 2014 ne l’avait pas non plus prévue. La LPDCP marche ici dans l’ombre de la Loi française Informatiques et Libertés de 1978 modifiée en 2018 après l’entrée en vigueur du RGPD.

Les sanctions administratives

Sur le plan administratif, l’Instance de protection des données à caractère personnel peut procéder à un retrait provisoire de l’autorisation accordée pour une durée de trois mois. Si au terme de ce délai des mesures correctives n’ont pas été prises, le retrait de l’autorisation devient alors définitif. Il s’agit ici d’une reprise des sanctions prévues dans le cadre de l’Acte additionnel de la CEDEAO.

Toutefois, on peut se demander si pour de grandes entreprises transnationales, à l’instar de Facebook ou Google, l’amende pécuniaire maximale de cent millions (100.000.000) de francs CFA, environ cent soixante-cinq mille (165.000) dollars, est assez dissuasive pour leur « portefeuille ».

Les sanctions pénales

Les actes suivants sont, entre autres, sanctionnées pénalement : le non-respect des formalités préalables ; le non-respect des mesures de retrait provisoire de l’autorisation accordée ; le traitement frauduleux de données personnelles ; le non-respect du droit d’opposition des personnes concernées par le traitement ; la divulgation non autorisée de données personnelles ; l’entrave à l’action de l’IPDCP.

La plupart des condamnations pénales varient entre trois mois à cinq ans pour les peines de prisons et pour les amendes entre cent mille et vingt millions de francs CFA. L’amende peut aller jusqu’à vingt-cinq millions (25.000.000) de francs CFA en cas de traitement illicite de données ayant pour fin la recherche dans le domaine de la santé, encore en cas de détournement de finalité du traitement. Les peines de prisons et d’amende peuvent être prononcées séparément ou cumulativement.

L’application de la loi relative à la protection des données à caractère personnel est un immense chantier. Pour ce faire, le législateur a prévu des assouplissements. Ainsi, à titre dérogatoire, les traitements de données opérés pour le compte de l’État, d’un établissement public, d’une collectivité locale ou d’une personne morale de droit privé gérant un service public et déjà créés – à la date d’entrée en vigueur de la loi – ne sont soumis qu’à une obligation de déclaration.

Les actes suivants sont, entre autres, sanctionnées pénalement : le non-respect des formalités préalables ; le non-respect des mesures de retrait provisoire de l’autorisation accordée ; le traitement frauduleux de données personnelles ; le non-respect du droit d’opposition des personnes concernées par le traitement ; la divulgation non autorisée de données personnelles ; l’entrave à l’action de l’IPDCP

Quant aux traitements en cours, les responsables de traitement – et leurs sous-traitants – disposent de deux ans pour les traitements de données opérés pour le compte de l’État, d’un établissement public, d’une collectivité territoriale ou une personne morale de droit privé chargée d’une mission de service public.

La loi togolaise relative à la protection des données à caractère personnel est aussi ambitieuse qu’ « utopiste ». Elle est ambitieuse dans la mesure où elle épouse son temps et les défis à relever en matière de protection des données personnelles. Elle reste utopiste en minimisant – du moins à première vue – le temps et l’investissement nécessaires à ce qu’aussi bien les personnes publiques que les personnes privées – État, collectivités territoriales, établissement public, entreprises de e-commerce, etc. – puissent se mettre en conformité.

 

Commenter